27. Jul 2013 03:07
Keine Kommentare

WLAN Daten abhören

Handy über WLAN abhören
Handy über WLAN abhören

Es gibt ein paar Anwendungsfälle und legitime Gründe Android-Telefone oder iPhones über WLAN abzuhören bzw. Ihre übertragenen Daten mitzuschneiden. Man kann VoIP-Telefonate abhören, von Apps übertragene Daten mitlesen und natürlich auch überwachen welche Webseiten geladen wurden. Das schließt die Inhalte der Webseiten natürlich mit ein. Man sollte sich vor Anwendung der rechtlichen Grundlagen bewusst werden und auch vorher sicherstellen, dass man zum Abhören der Daten berechtigt ist.  Ich habe z.B. die Daten abgehört und ausgewertet, die mein eigenes Smartphone mit dem DBNavigator der Deutschen Bahn überträgt. In diesem Artikel beschreibe ich, wie man LAN oder WLAN-Daten von Handys bzw. Smartphones oder anderen Geräten abhört.

Wie man Daten in WLAN-Netzen abhört

Um den gesamten Datenverkehr eines WLAN-Netzes oder auch eines kabelgebundenen Netzes abzuhören, benötigt man einen Punkt im Netzwerk, der die entsprechenden Daten mitschneiden kann. Im WLAN nach 802.11 gehen die Daten durch die Luft, sodass jeder der Zugriff auf das Netzwerk hat auch auf alle Daten im Netzwerk zugreifen kann. Bei kabelgebundenen Netzwerken wie Ethernet ist das etwas schwieriger. Da hier meistens ein  Router oder ein Switch zum Einsatz kommen, gelangen nicht alle Daten an alle Schnittstellen. Wer also, so wie ich, sein eigenes Netzwerk zu Analysezwecken abhören möchte, der sollte idealerweise die Daten direkt auf dem Router mitschneiden. Folgende Programme kann man für das Abhören von Netzwerk-Daten einsetzen. Diese gibt es sowohl für Linux, Unix, BSD als auch Mac OSX und Windows. Es empfiehlt sich jedoch der Einsatz von Linux, Unix oder BSD.

WLAN-Daten mit tcpdump mitschneiden

Man installiert das Programm "tcpdump" auf dem Router, wenn man am Router mitschneiden möchte. Das geht z.B. bei Fritzboxen mit angepasster Firmware und OpenWrt Routern wie z.B. dem TP-Link WR1043ND (siehe OpenWrt auf TP-Link WR1043ND). Alternativ kann man aber auch jedes andere Gerät im Netzwerk benutzen, sofern der Port an dem das Gerät angeschlossen ist so konfiguriert ist, dass der Router alle Daten an diesen Port weiterleitet. Hierfür eignet sich z.B. auch ein Raspberry Pi oder Linux-NAS, um größere Daten mitzuschneiden. Grundsätzlich sollte man beachten, dass beim Mitschneiden durchaus sehr große Datenmengen anfallen können. In meinem Fall habe ich "tcpdump" auf meinem Router mit OpenWrt durch folgenden Befehl gestartet.

Schauen wir uns den Befehl etwas genauer an. Tcpdump wird hier instruiert das Interface "br-lan" abzuhören. Das ist die Netzwerkschnittstelle, durch die auf dem Router alle Netzwerkdaten von allen Interface durchlaufen. Also extern genauso wie intern aus LAN und WLAN. Mit dem Paramter "w" wird angegeben, dass alle erfassten Daten im Pcap-Format in der Datei "/tmp/razrdbnav.pcap" gespeichert werden. Hier muss man auch Vorsicht walten lassen, denn wenn Jemand gerade einen Download durchführt, der 2 GB groß ist, dann landen die Daten alle im dortigen Verzeichnis, was schnell den Speicher des Routers verstopfen kann. Deshalb folgt anschließend auch der Filter "ether host [MAC]", welcher nur die Daten speichert, die von oder zu der angegebenen MAC-Adresse gehen. Man kann auch eine IP-Adresse angeben, dann hat man jedoch weder die ARP-Daten noch etwaige IPv6 Daten

Mitschneiden und Auswerten von Daten mit Wireshark

Die Software "Wireshark" erlaubt die Analyse und Auswertung der, mit "tcpdump" auf dem Router erfassten, Daten auf dem eigenen Rechner. Wireshark bietet hierfür eine grafische Oberfläche, kann jedoch die Daten auch selbst mitschneiden. In meinem Fall gehe ich über "File > Open" und öffne die Pcap-Datei, die ich vorher auf dem Router durch tcpdump erstellt habe. Anschließend zeigt Wireshark mit den kompletten Mitschnitt an.

Netzwerk mit Wireshark abhören
Netzwerk mit Wireshark abhören

Wireshark zeigt grundsätzlich jedes einzelne Datenpaket an und man kann sich alle exakten Details wie Quelladressen, Zieladresse usw. ansehen. Es sind wirklich alle Daten vorhanden, die zum Zeitpunkt des Mitschnitts durch das Netzwerk gelaufen sind. Nun ist es aber so, dass z.B. beim Aufrufen einer Website das sog. TCP Protokoll mehrere IP-Pakete versendet, die man nun mühsam einzeln wieder zusammen setzen müsste. Das kann Wireshark hier für uns erledigen. Sehen wir einen TCP Datenstrom wie z.B. einen HTTP-Datenstrom, so kann man mit Rechtsklick und dann "Follow TCP Stream" den kompletten Datenstrom auf einen Blick sehen. Den Inhalt der aufgerufenen Seite oder E-Mails bzw. Chatprotokolle, die nicht verschlüsselt sind, hat man dann sofort auf dem Bildschirm.

285,95 €
Jetzt bestellen »
Wireshark 101: Essential Skills for Network Analysis (Wireshark Solutions)
Versandfertig in 3 - 4 Werktagen

Mitschneiden von Video Streams und VoIP Telefonaten

Datenmitschnitte von größeren Datenströmen wie z.B. bei HD Videostreams, Voice over IP Telefonaten oder Bild-Uploads und -Downloads sind zwar auch in der Pcap-Datei vorhanden, können jedoch von Wireshark nicht als solche sofort angezeigt werden. Hier kann man im "Follow TCP Stream"-Fenster die Daten mit "Speichern unter" auch auf der Festplatte speichern. Man darf jedoch nicht vergessen, dass dann noch die Header-Daten in den Rohdaten mit drin stecken. Bei Video-Streams von Webseiten empfiehlt es sich mit der Dropdown-Liste unter dem "Stream Content" nur die Inhalte anzuzeigen und zu speichern, die vom entfernten Server kamen. Schneidet man dann die Kopf bzw. Header-Daten noch weg, so hat man die Rohdaten, die der Server übertragen hat. Mit einem Media-Player wie MPlayer kann man dann z.B. den Video-Datenstrom abspielen.

Zusammenfassung zur Netzwerkanalyse

Wireshark, Tcpdump und die dazugehöre Pcap-Bibliothek werden oft als "Hacker-Tools" verunglimpft. Das führt hauptsächlich darauf zurück, dass viele Menschen glauben der einzige Zweck stecke in der Überwachung von Nutzern oder dem Auslesen fremder Daten. Die Programme wurden jedoch ursprünglich für die Netzwerkanalyse entwickelt. Das Hauptanwendungsgebiet ist auch noch heute das Aufspüren von Netzwekfehlern und Problemen in Netzwerken. Die Anwendungsgebiete von Pcap, Wireshark und tcpdump sind schier unendlich und für jeden Netzwerkprofi sind diese Programme absolute Grundlage für die tägliche Arbeit, sei es im Reverse-Engineering, in der Analyse von Netzwerkfehlern oder schlicht in der Auswertung von Angriffen im Netzwerk. Wen das Thema interessiert, für den ist weiterführende Lektüre zu Wireshark und TCP/IP sehr empfehlenswert!

Bücher zum Thema „Computerforensik“

Die nachfolgenden Bücher behandeln das Thema "Computerforensik" und werden von Amazon empfohlen. Viele dieser Bücher habe ich selbst gelesen und teilweise auch zur Recherche für diesen Artikel genutzt.
42,90 €
Jetzt bestellen »
Computer-Forensik (iX Edition): Computerstraftaten erkennen, ermitteln, aufklären
Alexander Geschonneck, dpunkt.verlag GmbH
34,90 €
Jetzt bestellen »
Computer-Forensik Hacks
Lorenz Kuhlee, O'Reilly Verlag GmbH & Co. KG
42,90 €
Jetzt bestellen »
Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären
Alexander Geschonneck, dpunkt.verlag GmbH
24,99 €
Jetzt bestellen »
Computer-Forensik Hacks (Buch mit E-Book)
Lorenz Kuhlee, O'Reilly Verlag GmbH & Co. KG

Diese Artikel könnten Dich auch interessieren

Besucher, die diesen Beitrag gelesen haben, haben sich auch die unten aufgeführten Beiträge angesehen. Schau' doch einfach mal in die Artikel rein.
45 Besucher haben auch das gelesen
28 Besucher haben auch das gelesen
23 Besucher haben auch das gelesen
17 Besucher haben auch das gelesen
11 Besucher haben auch das gelesen
9 Besucher haben auch das gelesen

Kommentare zum Thema „WLAN Daten abhören“

Wenn Du möchtest, kannst Du hier Kommentare zum Thema hinterlassen und Dich mit anderen Nutzern austauschen. Damit Du kommentieren kannst, musst Du Dich nur anmelden und schon kann es losgehen.
Jetzt zum Kommentieren anmelden