Packet-Sniffing: Definition, Unterarten und Schutz (2024)

Was ist Packet-Sniffing?

Packet-Sniffing ist eine Methode zum Aufspüren und Auswerten der Datenpakete, die über ein Netzwerk gesendet werden. Administratoren machen zum Beispiel davon Gebrauch, wenn es um Fragen wie Netzwerküberwachung und -sicherheit geht. Paket-Sniffing-Tools können jedoch auch von Hackern eingesetzt werden, um vertrauliche Daten auszuspionieren oder zu stehlen.

Beim Packet-Sniffing werden die Datenpakete analysiert, die über das Transmission Control Protocol/Internet Protocol (TCP/IP) gesendet werden– das Protokoll zur Verbindung von Geräten über WLAN- oder Drahtlos-Netzwerke mit dem Internet. Diese Datenpakete enthalten verschiedene Arten von Datenverkehr, die über das jeweilige Netzwerk gesendet werden, z.B. Anmeldedaten, Passwörter oder technische Daten wie IP-Adressen.

IT-Fachleute setzen sogenannte Packet-Sniffer zur Fehlersuche im Netzwerk ein, wenn sie schädliche Datenpakete ausfindig machen wollen. So erhalten sie auch Einblicke in die Bandbreitennutzung und können beispielsweise feststellen, welche Anwendungen am intensivsten genutzt werden, um versteckte Probleme zu erkennen, die die Netzwerkleistung beeinträchtigen.

Netzwerkadministratoren können Packet-Sniffer zudem einsetzen, um festzustellen, welche Webseiten besucht, welche Inhalte konsumiert und welche Mitteilungen beispielsweise per E-Mail versendet wurden.

Ist Packet-Sniffing legal?

Packet-Sniffing ist für die Zwecke der Netzverwaltung legal, sofern die Methode nur in dem Teil des Netzes genutzt wird, für den die jeweilige Person oder Organisation verantwortlich ist. Packet-Sniffing ist illegal, wenn unbefugt auf die Datenpakete zugegriffen wird. Hacker setzen diese Methode ein, um Daten zu überwachen und zu stehlen, was ebenfalls einen illegalen Anwendungsfall von Packet-Sniffing darstellt.

Wie funktioniert Packet-Sniffing?

Bei einem Packet-Sniffer handelt es sich um Hardware oder Software, die die Daten überwacht, die zwischen vernetzten Computern bzw. zwischen diesen Geräten und dem Internet übertragen werden. Sniffer werden manchmal auch zur Analyse von Datenpaketen oder Netzwerken eingesetzt.

In der Regel senden und empfangen Netze Daten in Form von Paketen– d.h. fragmentierte, komprimierte Informationen–, damit sie schneller und einfacher zu verarbeiten sind. Nach der Übertragung werden die Informationen aus den Paketen wieder zusammengesetzt.

Geräte, die mit einem bestimmten Netzwerkknoten verbunden sind, behalten alle Datenpakete, die über das Netz übermittelt werden, im Blick und ignorieren jene, die nicht für sie bestimmt sind. Ein Packet-Sniffer ist anders konfiguriert und kann daher alle Pakete empfangen.

Einige größere Netzwerke sind „geswitcht“, d.h. sie sind mit einem Netzwerk-Switch ausgestattet, der bestimmte Daten nur an das gewünschte Gerät weiterleitet und nicht an alle Netzwerkgeräte. Zum Sniffing in einem solchen Netzwerk sind zusätzliche Protokolle zur Überwachung des Packet-Sniffers erforderlich.

Im Bereich der Cybersicherheit gibt es zwei Haupttypen von Packet-Sniffing:

• Beim Hardware-Packet-Sniffing kommt ein physisches Gerät zum Einsatz, das direkt an eine Netzwerkschnittstelle angeschlossen wird, d.h. an den Verbindungspunkt zwischen Computer und Netzwerk. Diese Methode wird von IT-Fachleuten bevorzugt, die auf bestimmte Teile eines Netzwerks zugreifen wollen.

• Beim Software-Packet-Sniffing wird ein Programm eingesetzt, das den gesamten über das Netzwerk übermittelten Datenverkehr aufzeichnet. Diese Methode ist inzwischen viel beliebter als Hardware Packet-Sniffing.

  See Also

  Was ist Packet Sniffing und wie Sie es verhindern | ComparitechPacket Sniffing Attacks: So funktioniert die Welt der DatenschnüfflerNetzwerk Sniffing – Sichere Kommunikation Im Netzwerk | SecureBitsWhat Is a Sniffer and How Can You Prevent Sniffing?

Die Benutzer können auch entscheiden, ob alle Datenpakete abgefangen und später analysiert werden sollen (in diesem Fall spricht man von ungefiltertem Packet-Sniffing) oder ob nur Datenpakete abgefangen werden sollen, die bestimmte Kriterien erfüllen (dann spricht man von gefiltertem Packet-Sniffing).

Was ist ein Packet-Sniffing-Angriff?

Zu einem Sniffing-Angriff kommt es, wenn ein Hacker mithilfe eines Packet-Sniffers vertrauliche, unverschlüsselte Datenpakete für zwielichtige Zwecke abfängt und ausliest. Dabei kann es sich sowohl um persönliche Daten (Name, Adresse, Telefonnummer) als auch um finanzielle Informationen (Bankdaten und Kontozugangsdaten) handeln.

Ohne robuste Cybersicherheits-Tools kann bösartiges Packet-Sniffing für weitere Angriffe genutzt werden, z.B. ARP- oder DNS-Spoofing oder SQL Injection, bei dem Schadcode in Datenpakete eingeschleust wird. Falls Sie versehentlich eine infizierte Datei herunterladen oder einen mit Malware verseuchten Anhang öffnen, kann es passieren, dass ein Packet-Sniffer installiert wird.

Wie funktioniert ein Packet-Sniffing-Angriff?

Bei einem Packet-Sniffing-Angriff fängt ein Hacker mithilfe eines Sniffers Daten ab, die über ein Netzwerk übermittelt werden, und liest sie aus, um sie für zwielichtige Zwecke zu missbrauchen. Gezielte Datenpakete enthalten in der Regel Kontozugangsdaten, persönliche Daten oder private Nachrichten.

Packet-Sniffing-Angriffe sind entweder aktiv oder passiv:

• Passives Sniffing: Wenn mehrere Geräte über Ihr lokales (LAN) oder ein WLAN-Netzwerk vernetzt sind, könnte sich ein Hacker in die Verbindung einklinken und den Datenverkehr, der über diesen Hub läuft, passiv überwachen. Diese Art des Packet Sniffing ist oft sehr schwer aufzudecken– man kann sie sich wie geheimes Spionieren oder Abhören vorstellen.

• Aktives Sniffing: Diese Methode wird in „geswitchten“ Netzen eingesetzt, in denen nur das Zielgerät eines Pakets die entsprechenden Daten empfangen kann. Um diese Daten trotzdem auszulesen, speisen die Hacker zusätzlichen Datenverkehr ins das Netzwerk ein.

Packet-Sniffer sammeln heimlich Daten, die zwischen Netzwerkgeräten und dem Internet übertragen werden.

Warum setzen Hacker Packet-Sniffer ein?

Hacker nutzen Packet-Sniffing-Angriffe aus vielen Gründen, z.B. um Ihre Online-Aktivitäten aufzuzeichnen, Ihre E-Mails auszulesen und Ihre Passwörter und Bankdaten einzusehen. Mithilfe eines Packet-Sniffers kann ein Angreifer Sie ausspionieren und wertvolle Informationen über jeden im Internet verfügbaren bzw. einsehbaren Aspekt Ihres Lebens in Erfahrung bringen.

Packet-Sniffing verletzt nicht nur Ihre Privatsphäre. Die dabei abgefangenen Daten können auch für weitere Angriffe eingesetzt werden. Hier einige Beispiele:

• Infizierung eines Netzwerks mit Viren oder Malware

• „Geiselnahme“ wichtiger Dateien durch Ransomware

• Kontozugriff, um Geld und Serviceabonnements zu entwenden

• Verwendung der Daten für einen Angriff auf eine Organisation, z.B. Ihren Arbeitgeber

Verschiedene Arten von Packet-Sniffing-Angriffen

Im Folgenden werden verschiedene Arten von Packet-Sniffing-Methoden und -Techniken beschrieben, wie sie von Hackern eingesetzt werden:

WLAN-Packet-Sniffing

Gehen Sie, wenn Sie unterwegs sind, auch mal über einen kostenlosen öffentlichen WLAN-Hospot ins Netz, beispielsweise im Café, am Bahnhof oder in der Innenstadt? In einem ungesicherten Netzwerk können Hacker mit einem WLAN-Sniffer die übermittelten Daten überwachen, wodurch im Grunde jedes mit dem WLAN verbundene Gerät von Ausspähung bedroht ist.

Packet-Sniffing ist nur einer von vielen Gründen, warum Sie um ungesicherte WLAN-Netze einen Bogen machen sollten, sofern Sie kein VPN haben. Avast SecureLine VPN verschlüsselt Ihre Internetdaten und hilft Ihnen, Ihre IP-Adresse und Ihren persönlichen Netzwerkverkehr vor Sniffern zu schützen.

Browserverlauf-Sniffing

Ihr Internetbrowser speichert in der Regel bestimmte Informationen, z.B. gespeicherte Formulardaten oder Anmeldedaten. Das ist zwar praktisch, wenn Sie sich bei Ihren Lieblingsseiten anmelden möchten, allerdings verwenden Hacker dies beim Packet-Sniffing gegen Sie. Und einige Browserdaten werden von Google selbst dann gespeichert, wenn Sie die Browser-Cookies und den Browserverlauf löschen.

JavaScript-Sniffer

Bei einem JavaScript-Sniffing-Angriff wird ein mit Malware infiziertes Skript in eine Webseite eingeschleust, um Ihre privaten Daten abzugreifen, wenn Sie diese auf der Webseite oder in ein Online-Formular eingeben. Dieser Code kann zum Abfangen von Telefonnummern, E-Mail-Adressen, Bankdaten, Passwörtern und vielen weiteren Informationen verwendet werden.

Session-Hijacking

Mit dieser Methode des Packet-Sniffing, auch TCP-Session-Hijacking genannt, kann ein Hacker Ihre Sitzungs-ID in Erfahrung bringen– eine individuelle Nummer, die der Server jedem Benutzer beim Besuch einer Webseite während einer Online-Sitzung zuteilt. Mithilfe der Sitzungs-ID kann der Drahtzieher dann vermeintlich autorisierte Aktivitäten im Netzwerk mit kriminellem Hintergedanken durchführen.

Passwort-Packet-Sniffing

Beim Passwort-Sniffing werden unverschlüsselte Datenpakete abgefangen, die Passwortinformationen enthalten. Hierbei handelt es sich um eine Art Man-in-the-Middle-Angriff, bei dem Daten auf dem Weg zwischen Ihrem Gerät und dem Zielort abgegriffen werden.

Domain Name System (DNS) Poisoning

Mithilfe von DNS Poisoning– einer ausgeklügelten, groß angelegten Form des Pharming– können Hacker den Internetverkehr von einer legitimen auf eine überzeugend aussehende Fake-Webseite umleiten. Da diese in der Regel täuschend echt aussieht, lassen sich Benutzer leicht dazu verleiten, Anmeldedaten einzugeben– so wie sie es normalerweise auf der echten Seite tun würden.

Address Resolution Protocol (ARP) Sniffing

Aufgabe des Address Resolution Protocol (ARP) ist normalerweise der Austausch von Adressen zwischen verschiedenen Netzwerken. Dazu gehört die Umwandlung einer IP-Adresse (Ihre Internetadresse, die weltweit identifizierbar ist) in eine MAC-Adresse (Media Access Control), also die Adresse, die nur für das von Ihnen verwendete Gerät gilt.

Beim ARP-Sniffing– auch bekannt als ARP-Spoofing, ARP-Cache-Poisoning und ARP-Poison-Routing– fangen Hacker Datenpakete ab und versenden Fake-Nachrichten über Ihr Netzwerk, um den Datenverkehr von Ihrer IP-Adresse auf die eigene umzuleiten. Diese Methode wird oft mit anderen Angriffsformen kombiniert, z. B. mit Man-in-the-Middle- oder Session-Hijacking-Angriffen.

Dynamic Host Configuration Protocol (DHCP) Sniffing

Das Dynamic Host Configuration Protocol (DHCP) weist einem Gerät bei der Verbindung mit einem Netzwerk eine IP-Adresse zu. Bei einem DHCP-Packet-Sniffing- oder DHCP-Snooping-Angriff richten Hacker ihren eigenen, gefälschten DHCP-Server ein, indem sie den echten Server mit so vielen Anfragen nach IP-Adressen überfluten, dass dieser keine weiteren mehr verteilen kann. Der Fake-DHCP-Server nimmt dann seinen Platz ein und ermöglicht es Packet-Sniffern, den Datenfluss im Netzwerk zu überwachen.

Jede Art von Paket-Sniffer fängt Datenpakete ab, die über ein Netzwerk übertragen werden.

Beispiele für Packet-Sniffing-Angriffe

• Die Heartland Payment Systems-Datenpanne (2009)

  Der US-amerikanische Zahlungsdienst Heartland Payment Systems wurde mit Malware angegriffen, durch die die sensiblen Kundendaten ausgespäht werden konnten, während sie das Netzwerk passierten. Die Datenpanne kostete das Unternehmen 2,6Mio. $1.

• Flame (2012)

  Flame ist ein hochkomplexer Malware-Typ, der einen Sniffer enthält. Der Packet-Sniffer fing große Mengen vertraulicher Daten ab, darunter Screenshots und Audiodateien aus Ländern des Nahen Ostens. Vermutungen zufolge handelt es sich bei Flame um eine Form staatlich geförderter Spionage oder Cyber-Kriegsführung, obgleich der genaue Ursprung nach wie vor unbekannt ist.

• APT28-Angriff auf Hotelgäste (2017)

  Eine russische Hackergruppe, APT28 oder „Fancy Bear“ genannt, stahl mithilfe von WLAN-Sniffing Benutzernamen, Passwörter und andere Daten von Hotelgästen in Europa und dem Nahen Osten. Bei dem Angriff kamen auch Malware und EternalBlue zum Einsatz– ein Exploit, der Windows-Sicherheitslücken ausnutzt.

  Erst kürzlich, im Jahr 2021, stellte sich heraus, dass APT28 Malware auch über ungepatchte Sicherheitslücken in Cisco-Routern verbreitet.

• BIOPASS RAT (2021)

  Hierbei handelte es sich zunächst um einen Watering-Hole-Angriff (bei dem häufig besuchte Webseiten manipuliert werden) auf chinesische Online-Glücksspielunternehmen. Mithilfe von Social Engineering verleiteten die Hacker die Benutzer einer Webseite dazu, eine Software herunterzuladen, die BIOPASS RAT, eine zum Remote-Access-Trojaner umfunktionierte Version der Softwaretools Cobalt Blue, enthielt. Mit der infizierten Software konnten die Hacker mit Open Broadcaster Software (OBS) Studio, einer Video- und Live-Streaming-App, die Daten der Opfer auszuspionieren.

Was ist der beste Schutz vor Packet-Sniffing?

Hier finden Sie einige Maßnahmen zum Schutz Ihres Netzwerks vor unerwünschtem Packet-Sniffing:

• Halten Sie Ihre Software auf dem neuesten Stand. Aktualisieren Sie regelmäßig Software und Betriebssysteme, um Sicherheitslücken zu schließen und zu verhindern, dass sie von Hackern verschiedenster Art ausgenutzt werden.

• Sichern Sie Ihre Konten mit einer doppelten Schutzschicht ab. Erstellen Sie sichere Passwörter und aktivieren Sie weitere Authentifizierungstools wie die Zwei-Faktor-Authentifizierung, die zusätzlichen Schutz bieten.

• Seien Sie vorsichtig, wenn Sie E-Mails von unbekannten Adressen öffnen. Klicken Sie niemals auf merkwürdige Anhänge oder Links, denn sie könnten zu einer Phishing-Kampagne gehören, die dann für einen Packet-Sniffing-Angriff genutzt wird.

• Sichern Sie Ihre Internetverbindung mit einem VPN ab. Wenn Sie im Internet ein virtuelles privates Netzwerk (VPN) verwenden, werden Ihre Daten durch einen verschlüsselten Tunnel umgeleitet, der Ihre Online-Aktivitäten abschirmt. An öffentlichen WLAN-Hotspots ist das besonders wichtig, da diese Netzwerke in der Regel über schwächere Schutzmechanismen verfügen, die das Risiko eines Packet-Sniffing-Angriffs erhöhen.

• Besuchen Sie nur abgesicherte Webseiten. Vergewissern Sie sich, dass die Webseiten, die Sie besuchen, mit dem HTTPS-Protokoll abgesichert sind. Webseiten mit dem HTTP-Protokoll bieten weniger Schutz. Heutzutage können Sie – bevor Sie sie aufrufen – in der Regel in der Adressleiste des Browsers nachsehen, ob die angesteuerte Webseite ungesichert ist.

Sichern Sie Ihr Netzwerk mit Avast SecureLine VPN

Avast SecureLine VPN hilft Ihnen, Ihr Netzwerk vor Packet-Sniffing zu schützen und Ihre persönlichen Daten abzusichern. Auf der Basis von OpenVPN und OpenSSL– den zuverlässigsten Datenschutz-Protokollen, die aktuell verfügbar sind– hält die Lösung ungebetene Dritte von Ihren Daten fern, die es womöglich darauf abgesehen haben, diese zu sammeln und abzugreifen. Testen Sie Avast SecureLine VPN noch heute und schützen Sie Ihre Netzwerkverbindungen und persönlichen Daten.