Um sich einen schnellen Überblick über den Netzwerkverkehr zu verschaffen, reichen in den meisten Fällen kostenlose Netzwerkanalyse -Tools aus. Allen voran ist das Tool SmartSniff für die Netzwerk-Analyse besonders gut geeignet, weil es aus einer einzelnen Datei besteht, nicht installiert werden muss und leicht zu bedienen ist. Zusammen mit dem Tool stellen wir Ihnen in diesem Beitrag weitere Werkzeuge vor, die perfekt zusammenarbeiten, um Ihnen wichtige Informationen zum Datenverkehr in Ihrem Netzwerk an die Hand zu geben.
SmartSniff: Praktischer Netzwerksniffer
SmartSniff steht als 64-Bit-Version und als 32-Bit-Version zur Verfügung. Sie müssen das Tool einfach nur herunterladen, das Archiv entpacken und die EXE-Datei starten. Danach klicken Sie auf das grüne Dreieck und starten den Scan-Vorgang. Beim ersten Start müssen Sie noch die Netzwerkkarte auswählen, mit welcher das Tool das Netzwerk scannen soll. Mit SmartSniff können Sie auch den Netzwerkverkehr von WLAN-Karten und sogar von UMTS/LTE-Verbindungen verfolgen lassen.
Netzwerkdaten mit SmartSniff auswerten
Danach zeigt SmartSniff die Netzwerkdaten an. Mehr müssen Sie für eine gute Übersicht nicht machen. Wollen Sie Einstellungen ändern, zum Beispiel die verwendete Netzwerk-Schnittstelle, finden Sie die entsprechenden Einstellungen im Menü Options\Capture Options. Die wichtigsten Informationen, die SmartSniff liefert, ist die lokale Quell-IP-Adresse und die Remote-Adresse, zu welcher das Paket gesendet wird. So erkennen Sie, welche Rechner im internen Netzwerk Daten in das Internet senden. Auch den Inhalt des Paketes können Sie sich anzeigen lassen.
Standardmäßig verwendet SmartSniff die Capture Methode Raw Sockets. Dieses können Sie über das Menü Options\Capture Options steuern. Oft reichen die Informationen mit dieser Einstellung aber nicht aus. Installieren Sie auf dem Rechner noch die kostenlose Systemerweiterung WinPcap um die Möglichkeiten von SmartSniff zu erweitern. Haben Sie die Erweiterung installiert, können Sie über Options\Capture Options die OptionWinPcap Packet Capture Driver aktivieren. Diese liefert mehr Informationen zu den gescannten Paketen. Aktivieren Sie zum Beispiel den Promiscuous Mode an dieser Stelle, lassen sich teilweise auch Kennwörter analysieren. Allerdings unterstützen nicht alle Karten diese Funktion. In den meisten Fällen reicht der Raw Modus aus, vor allem wenn Sie Windows 7/8/8.1/10 oder Windows Server 2012/2012 R2/2016 einsetzen.
Ziel-Land der Pakete ermitteln
Auf Wunsch können Sie in der Spalte Remote IP Country auch das Land anzeigen, in welches das Paket von den Rechnern gesendet wurde. Dazu müssen Sie sich lediglich die aktuelle und kostenlose Länderdatei IpToCountry.csv herunterladen und das Archiv im gleichen Verzeichnis entpacken, aus dem Sie auch SmartSniff starten. Wenn Sie SmartSniff danach neu starten und einen neuen Scanvorgang beginnen, sehen Sie in der Spalte Remote IP Country ganz rechts das Zielland des Paketes.
Pakete mit SmartSniff in Echtzeit analysieren
Klicken Sie auf ein Paket, sehen Sie im unteren Feld den Inhalt. Diesen können Sie nach verschiedenen Kriterien anzeigen lassen. Klicken Sie auf Options/Display Mode, können Sie zwischen den verschiedenen Modi wechseln. Es stehen Automatic, Ascii, Hex Dump, und URL list zur Verfügung. Bei der Einstellung Automatic überprüft SmartSniff die ersten Bytes des Datenstroms. Wenn dieser Zeichen enthält, die niedriger sind als 0x20, ohne CR, LF und Tabulatoren, zeigt das Tool die Informationen automatisch im Hex-Modus. Ist das nicht der Fall verwendet SmartSniff den ASCII-Modus. Der Hex-Dump-Modus ist langsamer als der Ascii-Modus. Der Modus URL-List filtert die Anzeige nach URLs. Alle Daten außer URLs werden ausgeblendet.
Pakete zur Analyse exportieren oder speichern
Neben der Möglichkeit die gesnifferten Daten in Echtzeit zu analysieren, können Sie diese auch exportieren, Pakete speichern oder diese über die Zwischenablage in andere Programme, wie Excel exportieren. Dazu markieren Sie im oberen Bereich des Fensters einfach die Spalten deren Daten Sie später analysieren wollen und kopieren diese über das Kontextmenü in die Zwischenablage. Danach können Sie die Spalten direkt in Excel einfügen.
Eine weitere Möglichkeit stellt Save Packet Summaries dar. Mit diesem Befehl aus dem Kontextmenü, erstellen Sie eine Textdatei mit den wichtigsten Informationen der ausgewählten Pakete. Der Befehl Export TCP/IP Streams, speichert die Daten des Paketes, aber auch deren Inhalt, in eine Textdatei. Wollen Sie das ganze grafisch aufbereitet als Bericht speichern, verwenden Sie den Befehl HTML Report / TCP/IP Streams. Im unteren Bereich können Sie den Inhalt einzelner Pakete natürlich auch markieren und über das Kontextmenü in die Zwischenablage kopieren.
Neben der Möglichkeit einzelne Pakete zu speichern, können Sie auch die Daten eines kompletten Capture-Vorgangs speichern und jederzeit in SmartSniff laden lassen. Dazu beenden Sie den Capture-Vorgang und wählen File\Save Packets Data to File. Speichern Sie danach den Vorgang in eine SSP-Datei ab. Diese können Sie in SmartSniff jederzeit wieder einlesen lassen und weiter untersuchen.
Prozesse überwachen lassen
Um eine erweiterte Überwachung zu bieten, kann SmartSniff auch die Prozesse überwachen, welche die Netzwerk-Pakete versenden. Diese Option müssen Sie aber erst aktivieren. Klicken Sie dazu auf Options\Advanced Options und aktivieren Sie hier die Option „Retrieve process information while capturing packets“. Erkennt SmartSniff den Prozess, sehen Sie dessen Prozess-ID und den Namen der ausführenden Datei in den beiden Spalten ProcessID und ProcessFilename.
Pakete im Internet mit Gratis-Online-Tools nachverfolgen
Haben Sie mit SmartSniff Pakete entdeckt die in das Internet versendet werden, zeigt das Tool entweder den Namen des Servers an, oder nur die IP-Adresse, wenn der Name nicht aufgelöst werden kann.
Auch auf der Seite Network-Tools.com können Sie IP-Adressen effizient nach Servernamen auflösen und einen Trace-Vorgang für die Pakete durchführen. Hier sehen Sie auch in wenigen Sekunden aus welchem Land eine IP-Adresse kommt.
Setzen Sie auf die Tools in diesem Beitrag, sollten Sie sich auch noch das Tool IPNetInfo ansehen. Es stammt von den gleichen Entwicklern, die auch die Tools SmartSniff, NetworkTrafficeView und Wireless Network Watcher programmiert haben. Das Tool kann sehr umfassende Informationen zu IP-Adressen und deren Herkunft anzeigen.
Finden Sie mit SmartSniff und NetworkTrafficView IP-Adressen, die Sie nicht zuordnen können, haben Sie die Möglichkeit mit IPNetInfo genaue Informationen zur IP-Adresse zu erfahren. Das Tool müssen Sie nicht installieren. Kopieren Sie IPNetInfo in das gleiche Verzeichnis wie NetworkTrafficView, können Sie die Herkunft von IP-Adressen über das Menü File\IPNetInfo herausfinden.
Netzwerke zusätzlich mit NetworkTrafficView scannen
Haben Sie mit SmartSniff das Netzwerk im Blick, können Sie vom gleichen Entwickler das Tool NetworkTrafficeView einsetzen. Das Tool zeigt von lokalen Rechnern aus an, welche Pakete von Quell- zu Ziel-Adressen geschickt werden. Das Tool zeigt auch das lokale Programm an, welches die Daten versendet sowie Quell- und Ziel-Port. Wenn möglich, sehen Sie auch das Icon des entsprechenden Programmes. Mit NetworkTrafficView sehen Sie aber auch Pakete die von andern Rechnern im Netzwerk gesendet werden. Im Gegensatz zu SmartSniff, zeigt NetworkTrafficView nicht den Inhalt der Pakete an, sondern nur deren Quell- und Ziel-Daten. Auch dieses Tool müssen Sie nicht installieren.
Die Einstellungsmöglichkeiten von NetworkTrafficeView entsprechen weitgehend den Möglichkeiten und Einstellungen von SmartSniff. Sie können auch hier WinPcap nutzen. Markieren Sie einen Prozess, können Sie über File\Properties noch mehr Informationen über das Paket anzeigen. Sie sehen im Fenster zusätzlich noch den Zeitpunkt des Sendevorgangs, die verantwortlichen Prozesse und die Größe der Pakete.
Über das Kontextmenü einzelner Pakete können Sie diese speichern und als Mail versenden, wenn Sie zum Beispiel mehr Informationen benötigen. Sie können in den Eigenschaften der Pakete auch das Quell- und Zielland anzeigen lassen, in welches das Paket gesendet wurde. Dazu müssen Sie sich lediglich die Länderdatei IpToCountry.csv herunterladen und das Archiv im gleichen Verzeichnis entpacken, aus dem Sie auch NetworkTrafficView starten. Wenn Sie das Tool neu starten, sehen Sie das Zielland der Pakete. Dieser Vorgang funktioniert übrigens auch mit SmartSniff.
Mit Wireless Network Watcher, SmartSniff und NetworkTrafficView das Netzwerk im Blick behalten
Verwenden Sie im Unternehmen ein WLAN und entdecken mit SmartSniff und NetworkTrafficView IP-Adressen, die Sie nicht zuordnen können, haben Sie die Möglichkeit mit dem Tool Wireless Network Watcher alle verbundenen Geräte im WLAN anzuzeigen. Wireless Network Watcher wird von den gleichen Entwicklern wie SmartSniff und NetworkTrafficView zur Verfügung gestellt und arbeitet daher perfekt mit den beiden anderen Programmen in diesem Beitrag zusammen. Auch hier haben Sie den Vorteil, dass Sie das Programm nicht installieren müssen. Das Tool zeigt Name, IP-Adresse, Hersteller, Mac-Adresse und mehr an. Auf diesem Weg können Sie also Pakete genau einzelnen Geräten zuordnen und so schnell erkennen, ob unberechtigte Geräte oder Anwender im Netzwerk unterwegs sind.
Mit dem kostenlosen Tool WiFi Guard scannen Sie in WLANs nach verbundenen Geräten. Außerdem lassen sich auf diesem Weg unter Umständen Fremdnutzer des WLANs entdecken. Von WiFi Guard gibt es auch eine portable Version, die nicht installiert werden muss. (PC-Welt)