Netzwerkverkehr mit Snort und Ethereal analysieren

Freunde in der Not
Kommentare

Die Situation da draußen hat sich verändert. Und diese Feststellung gilt nicht mehr ausschließlich für die Windows-Welt, denn auch Linux-Anwender werden zunehmend mit Fragen der Netzwerksicherheit konfrontiert. Mit Snort [1] und Ethereal [2] stehen zwei mächtige Lösungen für die Netzwerkanalyse und die Einbruchserkennung bereit. Der Artikel wird beide Tools vorstellen, die Einsatzgebiete umreißen und die grundsätzliche Handhabung erläutern.

Allgemein gesagt können Sie mit Snort und Ethereal ein Netzwerk überwachen und dasselbe vor Angriffen schützen. Allerdings sollte man nicht den Fehler machen, diese Programme unmittelbar miteinander zu vergleichen: Es gibt einige Gemeinsamkeiten (Netzwerkanalyse), aber auch Unterschiede (Intrusion Detection). Vielmehr ergänzen sie sich hervorragend.Beide Werkzeuge arbeiten nah am Kabel (Stichwort Promiscuous-Mode), sind plattform-unabhängig (Linux, Mac, Windows etc.), werden für Privatanwender kostenlos angeboten und sind außerordentlich leistungsfähig. Und noch eine Gemeinsamkeit gibt es: Binäre Pakete werden in ein lesbares Format konvertiert.Grundsätzlich ist festzuhalten: Innerhalb kurzer Zeit haben sich diese Werkzeuge quasi vom Geheimtipp zu Profi-Tools gemausert; die Entwicklung von Snort und Ethereal begann Ende der neunziger Jahre. Snort und Ethereal dienen unter anderem zur Fehlersuche (inklusive Performance-Analyse). Außerdem lassen sich defekte NICs aufspüren und gekaperte Maschinen entdecken. Beide Werkzeuge sind zudem ideal für Schulungszwecke.Die Unterschiede: Ethereal, ein GUI-basiertes Tool, wird oft als Super-tcpdump bezeichnet. Das heißt, Sie können Traffic im bereits erwähnten Promiscuous-Mode aufzeichnen und für die spätere Analyse dauerhaft speichern (in Capture-Dateien). Snort bietet aber ein breiteres Spektrum an Möglichkeiten: Sie können es wie tcpdump [3] und Ethereal einsetzen, aber viele Anwender schätzen Snort vor allem in seiner Eigenschaft als NIDS (Network Intrusion Detection System). Snort ist ein Kommandozeilen-Tool, kann aber bei Bedarf mit einem webbasierten Interface nachgerüstet werden.

Abb. 1: Der Filter imcp
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -