Seite 6: Capturing-Alternative mit einem Managed-Switch

Inhaltsverzeichnis

Bevor wir uns an die Datenanalyse machen, möchte ich noch auf eine Alternative eingehen. Auch sie ist einfach, benötigt aber ein wenig Hardware, die man konfigurieren muss. Es handelt sich hier um Ethernet-Switches, die in einem gewissen Umfang konfigurierbar (daher auch "managed") sind. Ein Beispiel ist der Netgear GS308E (Bild 7), den man für etwa 40 Euro beziehen kann.

Die notwendige Funktion, die wir suchen, heißt "Mirroring" oder "Mirror Port". Ein Netzwerk-Switch arbeitet normalerweise so, dass er sich ein Bild darüber macht, welche Geräte hinter welchem Port ansprechbar sind. Wenn dann ein Paket für Gerät X hereinkommt, leitet er das Paket auf dem Port weiter, an dem Gerät X angeschlossen ist. Dazu muss der Switch jedes Paket kurz anschauen.

Bei solchen kleinen Managed-Switches kann man meist einstellen, dass Pakete, die auf bestimmten Ports empfangen werden, zusätzlich zum normalen Zielport auch an einem anderen Port (quasi als Kopie) ausgespuckt werden – dies nennt man Port-Mirroring (Bild 8). Es hilft, während man Hardware oder Software-Apps entwickelt und man den Traffic mitlesen oder im Netzwerk zu Sicherheitszwecken analysieren möchte.

An den Port kann man sich nun z. B. mit einem USB-Ethernet-Adapter anstöpseln und in Wireshark alles mitlesen, was über den Bus geht. Um damit allerdings auch den WLAN-Traffic mitlesen zu können, muss man noch dafür sorgen, dass der Switch irgendwie zwischen dem Internet und einen WLAN-Access-Point eingeschleift wird.