https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=NetzwerkverkehrsanalyseNetzwerkverkehrsanalyse - Versionsgeschichte2026-06-27T09:54:03ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Netzwerkverkehrsanalyse&diff=259421&oldid=previmported>Gak69: Kleinkram2024-10-28T10:24:38Z<p>Kleinkram</p>
<p><b>Neue Seite</b></p><div>Eine '''Netzwerkverkehrsanalyse''' ist die Untersuchung des [[Datenverkehr]]s, der in einem [[Rechnernetz]] zwischen den teilnehmenden [[Computer]]n ausgetauscht wird. Die Verkehrsanalyse wird verwendet zur Fehlerdiagnose in Rechnernetzen, zur Detektion und Abwehr von IT-Sicherheitsangriffen, sowie zur Ausspähung von Personen.<br />
<br />
== Einsatzzwecke ==<br />
Die Verkehrsanalyse von Netzwerkverkehr kann für verschiedene Zwecke eingesetzt werden:<br />
* Zur [[Fehlerdiagnose]] oder Überwachung des Betriebszustands eines [[Kommunikationssystem]]s<br />
* Zur Suche nach [[Schadprogramm]]en und anderen [[IT-Sicherheit]]sangriffen<br />
* Zur [[Telekommunikationsüberwachung]] und Auspähung von Personen<br />
<br />
Findet die Verkehrsanalyse zum Zwecke der Fehlerdiagnose statt, so wird sie typischerweise anlassbezogen und reaktiv eingesetzt. Eine proaktive Verkehrsaufzeichnung wäre für diesen Anwendungsfall zu aufwendig und verstößt gegen den [[Datenschutzrecht|datenschutzrechtlichen]] Grundsatz der [[Datenvermeidung]]. Für den Einsatzzweck der Angriffserkennung ist eine kontinuierliche Auswertung des Datenverkehrs erforderlich. Die Aufzeichnung kann hingegen auf erkannte Angriffe beschränkt werden oder gänzlich unterbleiben. Bei der Telekommunikationsüberwachung dient die kontinuierliche Aufzeichnung dem Zweck der späteren Auswertbarkeit, auch von [[Personenbezogene Daten|personenbezogenen Daten]].<br />
<br />
== Verkehrsausleitung ==<br />
Die Netzwerkverkehrsanalyse kann je nach Einsatzzweck auf verschiedene Arten erfolgen. Eine Möglichkeit ist die Auswertung einer Kopie des Datenverkehrs. Dies erfolgt durch Einsatz eines [[Sniffer]]s. Der Sniffer befindet sich entweder direkt an dem analysierten [[Übertragungstechnik|Übertragungsmedium]] oder erhält den Datenverkehr von einem Sensor zugeführt. Als Sensor kann ein [[Network-TAP]] als dediziertes Gerät verwendet werden oder die Portspiegelungsfunktion eines [[Switch (Netzwerktechnik)|Switches]] (''SPAN Port'' oder ''Mirror Port'').<ref>Sanders, 2017, S. 21 ff.</ref><ref>Gregg, 2015, Seite 84.</ref> Einige Switch-Hersteller unterstützen Portspiegelung auch über Gerätegrenzen hinweg, sodass sich der gespiegelte [[Port (Schnittstelle)|Netzwerkport]] und die Datensenke an unterschiedlichen Switches befinden können.<br />
<br />
=== Sichtbarkeit ===<br />
Der Standort des Sniffers bzw. Sensors beeinflusst, welche Daten sichtbar sind und ausgewertet werden können. Bei einem geteilten Übertragungsmedium wie beispielsweise einem [[Bus (Datenverarbeitung)|Bussystem]] oder [[Wireless Local Area Network|WLAN]] (siehe [[WLAN-Sniffer]]) kann ein Kommunikationsteilnehmer prinzipiell alle über das Medium übertragenen Daten sehen. In einem Netzwerk mit Switches sieht ein Teilnehmer neben [[Broadcast]]s lediglich die an ihn adressierten Datenpakete. Neben der oben erwähnten Portspiegelung am Switch besteht eine andere Möglichkeit darin, als Teilnehmer Verkehr mittels [[ARP-Spoofing]] oder [[Rogue DHCP]] umzuleiten.<ref>Gregg, 2015, S. 85 ff.</ref><br />
<br />
=== Filterung ===<br />
Wird der Verkehr in Gänze kopiert und ausgewertet, müssen große Datenmengen verarbeitet werden, was viel [[Rechenleistung]] kostet. Werden die Daten aufgezeichnet, stellt die Speicherung großer Datenmengen eine technische Hürde dar. Durch eine [[Filter (Software)|Vorfilterung]] nach bestimmten [[Netzwerkadresse]]n oder [[Netzwerkprotokoll]]en kann die zu verarbeitende und speichernde Datenmenge reduziert werden. Die Filterung kann beispielsweise durch den [[Berkeley Packet Filter]] oder durch speziell für diesen Einsatzzweck entworfene [[Hardware]] performant erfolgen.<br />
<br />
== Ausleitung von Metadaten ==<br />
Eine weitere Möglichkeit zur Reduktion des Datenverkehrs ist es, die Analyse auf die Verarbeitung von [[Metadaten]] zu beschränken. Dies eignet sich beispielsweise zur Überwachung des Auslastungs- und Betriebszustands eines Rechnernetzes. Auch für die Telekommunikationsüberwachung reichen Metadaten aus, um festzustellen, auf welche Netzwerkdienste und [[Server]] eine Person zugreift, oder mit wem sie kommuniziert.<br />
<br />
Eine einfache Möglichkeit zur Erfassung der Metadaten ist es, jedes aufgezeichnete [[Datenpaket]] nach beispielsweise 64 Bytes abzuschneiden. Dadurch sind der [[IP-Header]] und ggf. weitere [[Header]] enthalten, aus denen die [[IP-Adresse]]n von Quelle und Ziel hervorgehen. Die weiter hinten im Paket befindlichen Nutzdaten werden abgeschnitten.<br />
<br />
Eine Alternative stellt die Ausleitung von Metadaten per [[Netflow]] oder [[Internet Protocol Flow Information Export|IPFIX]] dar. Diese fassen die Quell- und Zieladressen sowie statistische Werte eines gesamten [[Datenstrom]]s in einem aggregierten Datensatz zusammen, der in ein einzelnes Datenpaket passt. Netflow-Datensätze können durch [[Router]] erzeugt und an einen Kollektor im Netz versandt werden, wodurch nicht zwingend ein dedizierter Aufzeichnungssensor notwendig ist. Ein weiterer Vorteil von Netflow ist es, dass keine [[Nutzdaten]] aufgezeichnet werden, mit denen somit auch kein Missbrauch möglich ist.<br />
<br />
== Werkzeuge ==<br />
[[Pcap]] ist eine weit verbreitete [[Programmierschnittstelle]] und ein [[Datenformat]] zur Speicherung von aufgezeichnetem Datenverkehr.<ref>Gregg, 2015, Seite 78f.</ref> Pcap wird von einer Vielzahl von [[Open Source|Open-Source-Tools]] unterstützt, beispielsweise [[tcpdump]] und [[Wireshark]], sowie von kommerziellen Produkten, beispielsweise von den Herstellern [[Riverbed]] und [[Solarwinds]].<br />
<br />
== Rechtliches ==<br />
Personenbezogene Daten unterliegen dem [[Datenschutz]]. Da Netzwerkverkehrsanalyse auch personenbezogene Daten betreffen kann, greifen entsprechende datenschutzrechtliche Vorgaben wie beispielsweise die [[Datenschutz-Grundverordnung]] in der Europäischen Union. Die Verkehrsanalyse kann einen Eingriff in das [[Fernmeldegeheimnis]] darstellen und unterliegt den entsprechenden gesetzlichen Regelungen, in Deutschland beispielsweise dem [[Telekommunikationsgesetz (Deutschland)|Telekommunikationsgesetz]]. Für den Zweck der staatlichen [[Telekommunikationsüberwachung]] gibt es entsprechenden [[Rechtsgrundlage]]n, in Deutschland beispielsweise die [[Strafprozessordnung (Deutschland)|Strafprozessordnung]].<br />
<br />
Setzt ein [[Arbeitgeber]] Netzwerkverkehrsanalyse zur [[Leistungs- und Verhaltenskontrolle]] von Mitarbeitern ein, so unterliegt diese Maßnahme der Mitbestimmung durch den [[Betriebsrat]].<br />
<br />
Sind die Werkzeuge der Netzwerkverkehrsanalyse zum Ausspähen von Daten geeignet, unterliegt deren Beschaffung und Verbreitung dem [[Vorbereiten des Ausspähens und Abfangens von Daten|Hackertoolparagraphen]].<br />
<br />
== Literatur ==<br />
* {{Literatur |Titel=The Network Security Test Lab: A Step-by-Step Guide |Autor=Michael Gregg |Verlag=Wiley |Datum=2015-08-10 |ISBN=9781118987131 |Sprache=en}}<br />
* {{Literatur |Titel=Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems |Autor=Chris Sanders |Auflage=3 |Verlag=No Starch Press |Datum=2017-03-30 |ISBN=9781593278298 |Sprache=en}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Rechnernetze]]</div>imported>Gak69