FritzBox Packet Sniffer: Schnüffelfunktion aktivieren und Netzwerkdaten per Paketmitschnitt mitschneiden (Video)

Nicht nur die NSA kann den Datenverkehr im Internet mitlesen und mitschneiden. Das klappt auch Zuhause im heimischen Netzwerk. Zumindest dann, wenn die weit verbreitete FritzBox von AVM zum Einsatz kommt. Denn in der FritzBox ist eine Schnüffelfunktion versteckt, mit der sich unbemerkt der gesamte Internetverkehr mitschneiden lässt. Wir zeigen, wie einfach das Schnüffeln funktioniert und wie sich die Paketmitschnitte auswerten lassen.

Schnüffelfunktion der AVM FritzBox aktivieren

Die Schnüffelfunktion gehört schon seit vielen Jahren zur Standardausstattung jeder FritzBox; abschalten lässt sie sich nicht. Jeder, der Zugriff auf die Konfigurationsoberfläche hat, kann den Schnüffler jederzeit ein und ausschalten. Und zwar so:

1. Rufen Sie im Browser die Seite http://fritz.box/html/capture.html auf.

2. Anschließend geben Sie das FritzBox-Kennwort ein und klicken auf „Anmelden“.

3. Auf der nächsten Seite können Sie den Paketmitschnitt für die verschiedensten Schnittstellen der FritzBox starten, etwa getrennt für einzelne Netzwerkschnittstellen, das WLAN oder die USB-Anschlüsse. Wer den gesamten Internetverkehr mitschneiden möchte, aktiviert in der Zeile „1. Internetverbindung“ die Schaltfläche „Start“.

fritz-box-paketmitschnitt-packet-sniffer-mitschneiden-belauschen

4. Die FritzBox beginnt sofort mit dem Mitschnitt und zeichnet den gesamten Internetverkehr in einer Protokolldatei auf. Die Datei wird sofort heruntergeladen und im Download-Ordner des Browsers gespeichert. Ab sofort zeichnet die FritzBox alle übertragenen Daten auf, zum Beispiel den Aufruf von Webseiten, das Verschicken von E-Mails oder das Herunterladen von Dateien. Aber aufgepasst: die Protokolldatei kann schnell riesig werden, da wirklich jedes Datenpaket in der Protokolldatei landet. Es empfiehlt sich daher, die Protokollierung nur wenige Sekunden oder Minuten laufen zu lassen.

5. Um den Mitschnitt zu beenden und die Protokolldatei abzuschließen, klicken Sie auf die Schaltfläche „Stopp“.

Schnüffeldatei auswerten mit Wireshark

Den Paketmitschnitt finden Sie im Download-Ordner des Browser. Die Datei ist immer gleich aufgebaut und enthält das Datum und die Uhrzeit. Der Mitschnitt am 06.01.2014 und 12:19 Uhr lautet zum Beispiel

fritzbox-vcc0_06.01.14_1219.eth

Ansehen können Sie sich die Schnüffeldatei mit einem Texteditor TextPad. Allerdings enthält die Textdatei auf den ersten Blick nur eine Zahlen- und Zeichenwüste aus. Dahinter verbergen sich aber alle wichtigen Netzwerkdaten wie aufgerufene Webadressen, mitunter auch Benutzernamen und Kennwörter (sofern diese über unverschlüsselte Verbindungen übertragen wurden) – eben alles, was ins Netz ging oder aus dem Netz kam.

Eine bessere Alternative zum Texteditor ist das Gratisprogramm „Wireshark„. Damit lassen sich die .eth-Dateien in einem wesentlich lesefreundlicheren Format darstellen und vernünftig durchsuchen. Über den Befehl „File | Open“ öffnen Sie zuerst den .eth-Paketmitschnitt. Zum Durchsuchen des Mitschnitts rufen Sie den Befehl „Edit | Find Packet“ auf und wählen die Option „By: String“. Anschließend geben Sie den Suchbegriff ein, etwa „Pass“, „pwd“ oder „Passwort“ für Kennwörter oder „User“, „log“ bzw. „Username“ für Benutzernamen. Im Bereich „Search In“ wählen Sie die Option „Packet details“. Per Klick auf „Find“ springen Sie zur ersten Fundstelle; mit [Strg][N] geht es zu den nächsten Treffern.

fritz-box-paketmitschnitt-packet-sniffer-mitschneiden-belauschen-4

Was kann man gegen die Paketmitschnitt-Schnüffelei tun?

Da sich der Paketmitschnitt in AVM-Routern nicht abschalten lässt, kann man sich vor dem Mitschneiden des Netzwerkverkehrs kaum schützen. Jeder, der Zugang zur FritzBox hat, kann den Paketmitschnitt starten und munter drauf los schnüffeln.

Einziger Lichtblick: lesbar sind nur Netzwerkdaten, die unverschlüsselt übertragen werden. Achten Sie daher beim Surfen darauf, auf die unverschlüsselte Eingabe von Passwörtern und Benutzernamen zu verzichten. Erscheint im Browser vor der Adresse statt „http“ das Kürzel „https“, sind Sie auf der sicheren Seite. Das „s“ in https“ zeigt an, dass die hier eingegebene Daten nur verschlüsselt übertragen werden; sie lassen sich zwar mitschneiden, im Paketmitschnitt sind statt Kennwort und Benutzername nur Zahlen- und Buchstabencodes zu finden.

fritz-box-paketmitschnitt-packet-sniffer-mitschneiden-belauschen-5

Das Gleiche gilt übrigens auch für WhatsApp-Nachrichten. Da WhatsApp seit Ende 2012 sämtliche Nachrichten nicht mehr im Klartext, sondern in verschlüsselter Form übermittelt, lassen sich fremde WhatsApp-Nachrichten nicht mehr so einfach mitschneiden. Allerdings verwendet WhatsApp eine recht schwache Verschlüsselung, die sich von gewieften Hackern möglicherweise in Windeseile wieder entschlüsseln lassen.

Alle Schritte im Video

In folgendem YouTube-Video zeigen wir noch einmal alle Schritte, wie so ein Paketmitschnitt aussieht und wie sie die Logdatei mit Wireshark durchsuchen:

Nach oben scrollen