Packetyzer

Inhaltsverzeichnis
  1. Protocols
  2. Connections
  3. Weitere Links

Ein weiteres Programm aus der Reihe Wireshark und NTOP ist der Packetyzer. Er schneidet mittels der Engine von Wireshark und dem WinPCap-Treiber die Pakete auf einer Ethernet-Schnittstelle mit und erlaubt umfangreiche Auswertungen der übertragenen Daten in Echtzeit.

Ich habe exemplarisch einmal eine Outlook Replikation mit RPC over HTTPS von meinem Notebook mitgeschnitten und zeige anhand der folgenden Beispielbilder die Leistungsfähigkeit von Packetyzer.

Download von Packetyzer
http://www.paglo.com/opensource/packetyzer

Da Packetyzer wie Wireshark auch im "Promiscuous Mode" laufen kann, werden auch Pakete von anderen Stationen mitgeschnitten, sofern diese beim System ankommen. Bei einem shared Netzwerk (Hub, Wireless) sehen Sie daher jedes Paket. Bei einem Switch erhalten Sie normalerweise nur ihre Pakete und Broadcasts von anderen Systemen.

Protocols

Hier ist ein schneller Überblick der genutzten Protokolle des Systems möglich. Hier ist gut zu sehen, dass mein PC sehr viel "NetBIOS over TCPIP" verwendet. Das ist meine Verbindung zum PC im gleichen LAN. Zudem ist aber auch gut zu erkennen, wie viele Pakete und Bytes die letzte Replikation von Outlook benötigt hat. Packetyzer kann sogar in den HTTP-Verkehr hineinschauen und zeigt, dass ein GIF-Bild geladen wurde. Allerdings gelingt dies nur, solange kein SSL (TLS) genutzt wird.

Connections

Das nächste Bild zeigt die Kommunikationspartner im Netzwerk. Hier sehen Sie, dass mein Computer mit mehreren Systemen eine Verbindung aufbaut.

Neben dem markierten HTTPS-Verkehr sind natürlich an erster Stelle die Namensauflösung per DNS (UDP Port 53) zu erkennen. Die hier sichtbaren IP-Adressen sind nicht besonderes. 192.168.x.x ist mein privates Netzwerk und die anderen Adressen sind öffentliche DNS-Server der Telekom, die jeder von Ihnen verwenden kann und der OWA-Server von Net at Work, den sie problemlos per DNS auch auflösen können.

Besonders interessant ist die Funktion, die Pakete dieser Verbindung gefiltert anzuzeigen und auch den zeitlichen Verlauf zu betrachten. Der Zeitliche Verlauf erlaubt einfache Analysen der Antwortzeiten. Allerdings können nur TCP-Verbindungen analysiert werden. Am Beispiel der HTTPS-Abfrage sieht dies wie folgt aus (Ausschnittsweise):

So ist auch der zeitliche Aufbaue und sich überneidende Pakete einfach zu analysieren.

Hinter dem Decode-Reiter verbirgt sich dann die textuelle Auflösung der übertragenen Nutzdaten. In diesem Ausschnitt sieht man z.B. das in Klartext übertragene Zertifikat für die SSL-Verbindung mit dem Public Key. Daher ist es ungefährlich diese Daten hier zu zeigen. Sie können diese auch einfach selbst generieren.

Gefährlicher wird dies aber, wenn Sie mit dem Programm z.B. eine POP3 Anmeldung mitschneiden oder die Nutzung einer Webseite ohne SSL. Dann ist hier recht einfach der Anwendername und das Kennwort zu sehen.

Weitere Links