Analyse des Implementierungsgrades von Industrieprotokollen im Netzwerkanalysetool Wireshark

Master-Studiengang Information Security

Ing. Markus Seitner, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk 

Ausgangslage

Wireshark ist heutzutage eines der beliebtesten Netzwerkanalyse-Tools. Seit seiner Entwicklung sind stetig immer weitere Protokolle hinzugekommen, die Wireshark decodieren kann und vor allem in Büronetzwerken ist das Tool nicht mehr weg zu denken. Doch wie sieht es im Bereich der Industrie-Netzwerke diesbezüglich aus.

Dort wurden anfänglich reine Fieldbus Protokolle eingesetzt. Diese verwendeten zur Übertragung oft serielle Interfaces im Gegensatz zu Firmennetzwerken, wo fast alles auf dem Ethernet Protokoll aufbaut.

Letztgenanntes hat den Vorteil, dass Netzwerkpakete relativ einfach, entweder direkt am Endgerät oder auf einem Switch über Port-Mirroring oder am Kabel mit einem sogenannten Tap-Gerät aufgezeichnet werden können. Bei einem seriellen Interface werden spezielle Adapter benötigt und das Mitschneiden von den übertragenen Daten ist meistens auch schwieriger.

Über die letzten Jahre zeichnet sich ein deutlicher Trend zu den Industrial Ethernet Protokollen hin ab. Diese haben die reinen Fieldbus Protokolle inzwischen bei der Errichtung neuer Industrie-Netzwerke überholt. Zusätzlich gibt es bereits die ersten Wireless Protokolle für Industrielle Anlagen.

Doch inwieweit kann Wireshark heutzutage mit diesen Protokollen umgehen. Werden die einzelnen Felder des Protokolls richtig ausgelesen und angezeigt oder wird das Protokoll vielleicht noch gar nicht verstanden.

Ziel

Das Ziel dieser Arbeit ist festzustellen, inwieweit die verschiedenen Industrieprotokolle in Wireshark implementiert sind. Dabei wird zuerst recherchiert, welche Industrieprotokolle es überhaupt gibt. Anschließend wird überprüft, ob für diese ein Dissector in Wireshark vorhanden ist. Für die Protokolle, bei denen ein PCAP File gefunden wird, wird eine genaue Auswertung des Implementierungsgrades erstellt (vollständig, teilweise, etc.). Zum Schluss wird noch für das “Fox” Protokoll ein Dissector programmiert.

Ergebnis

Im Zuge dieser Arbeit wurde eine Übersicht erstellt, welche Protokolle inwieweit in Wireshark integriert sind. Dabei konnte festgestellt werden, dass es gravierende Unterschiede zwischen den älteren Fieldbus Protokollen und neueren Protokollen gibt, welche auf Ethernet aufbauen. Letztgenannte sind deutlich besser in Wireshark implementiert. Gesamt betrachtet sind nicht einmal 50% der Protokolle implementiert, was sicherlich auch daran geschuldet ist, dass einige Protokolle nicht quelloffen sind.

Holen Sie sich alle Infos zu Ihrem Wunschstudium

Studienplan, Kosten & Stipendien, Karrieremöglichkeiten, Studieren in St. Pölten und vieles mehr.

Mehr erfahren
Campus-Platz 1, A-3100 St. Pölten
T: +43/2742/313 228-200 E: csc@fhstp.ac.at