c't 4/2020
S. 60
Titel
LAN-Monitoring: Daten sniffen
Bild: Albert Hulm

Datenfänger

Wie man einen PC zum Capture-Device fürs kleine Netz macht

Bei der Fehlersuche im Netz fasst man den Problembär nie selbst an, sondern zeichnet seinen Daten­verkehr zwecks Analyse auf. c’t liefert Anleitungen für drei Sniffing-­Techniken, die wenig kosten.

Von Ernst Ahlers

Wer kein Profi-Netz betreuen muss, hat auch kein Profi-Budget, aber trotzdem manchmal ein Profi-Problem: Der Datenverkehr eines bestimmten Geräts im Netz soll isoliert und überwacht werden. Wenn es nur um die Daten vom und ins Internet geht, dann genügt schon eine Mitschnitt- oder Capture-Funktion im Router. Die gibt es beispielsweise in den verbreiteten Fritzboxen oder im Open-Source-Router Turris Omnia. Das ist aber nur ein Notnagel, denn erstens fängt man damit keinen rein internen Verkehr wie etwa den zwischen dem TV-Gerät als Streaming-Client und dem Netzwerk­speicher (NAS) mit der Videosammlung. Zweitens sind die Router bei schnellem Verkehr auch schnell in Sachen Prozessorleistung und Speicher überfordert, sodass sie Pakete verlieren und die Aufzeichnung unvollständig ist.

Geschickter ist es deshalb, einen PC oder ein Notebook als Mitschnitt-Maschine zwischen Gerät und Netz zu schalten. Das lässt sich für höchstens 50 Euro auf eine von drei Arten realisieren: mit einer Soft-Bridge, mit einem einfachen, passiven Ethernet-TAP oder mit einem konfigurierbaren Switch mit Mirror-Funktion. Wir schildern im Folgenden, wie man das aufsetzt und mit welchen Effekten zu rechnen ist. Admins in Unternehmen haben weitere Möglichkeiten, die wir ab Seite 64 schildern. Dort stehen auch ergänzende Grundlagen und Tipps, die bei der Wahl des am besten auf Ihren Einsatzfall passenden Verfahrens helfen.