{"id":207233,"date":"2025-06-21T07:20:11","date_gmt":"2025-06-21T07:20:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/207233\/"},"modified":"2025-06-21T07:20:11","modified_gmt":"2025-06-21T07:20:11","slug":"wiresharks-kleiner-bruder-die-zukunft-des-cloud-analysetools-stratoshark","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/207233\/","title":{"rendered":"Wiresharks kleiner Bruder: Die Zukunft des Cloud-Analysetools Stratoshark"},"content":{"rendered":"

close notice<\/p>\n

\n This article is also available in
\n English<\/a>.<\/p>\n

It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n

\n Don\u2019t show this again.\n<\/p>\n

Wie Wireshark f\u00fcr Netzwerke soll Stratoshark Transparenz f\u00fcr Betriebssysteme und Apps schaffen durch die Analyse von Systemcalls und Logs. Das Open-Source-Tool baut in gro\u00dfen Teilen auf dem Quellcode von Wireshark auf. Dahinter steht Wireshark-Erfinder Gerald Combs, dessen Arbeitgeber Sysdig auch die zugeh\u00f6rigen Tools Falco und Sysdig zur Erfassung der Aktivit\u00e4ten und Logs liefert.<\/p>\n

Mitte Mai hat sich Sysdig entschieden, Stratoshark in die H\u00e4nde der gemeinn\u00fctzigen Wireshark Foundation zu legen<\/a>. \u00dcber die Hintergr\u00fcnde sprach die iX-Redaktion mit dem Wireshark-Erfinder Gerald Combs und Alexander Lawrence, Director of Cloud Security Strategy bei Sysdig.<\/p>\n

iX: <\/strong>Gerald, was hat es mit der Spende von Stratoshark an die Wireshark Foundation auf sich?<\/p>\n

Gerald Combs: Die Wireshark Foundation ist eine gemeinn\u00fctzige Organisation in den USA, die es sich zum Ziel gesetzt hat, Menschen im Umgang mit Netzwerkanalyse auszubilden. Mit der Spende von Stratoshark erweitern wir unsere Mission: Bisher liegt unser Fokus auf der Paket-Analyse, k\u00fcnftig wollen wir aber auch tief in Betriebssystem-Ereignisse blicken k\u00f6nnen.<\/p>\n

iX:<\/strong> Was war die Motivation hinter der Entwicklung von Stratoshark und worin unterscheidet es sich konzeptionell von Wireshark?<\/p>\n

Combs: Wireshark zerlegt Pakete mit seiner Dissektions-Engine in alle Protokollbestandteile, erm\u00f6glicht Filterung, Drill-Down und ausf\u00fchrliche Analysen. Stratoshark dagegen arbeitet nicht auf Basis von Netzwerk-Paketen, sondern auf Basis von Systemaufrufen und Protokollnachrichten. Es erlaubt \u00e4hnliche Filter- und Analysem\u00f6glichkeiten \u2013 nur eben in der Systemaufruf- und Cloud-Welt. Das User-Interface gleicht stark dem von Wireshark, damit Nutzer sofort zurechtkommen. Unter der Haube nutzen wir viele gemeinsame Bibliotheken, haben sie aber so erweitert, dass sie Systemaufrufe und Cloud-Logs interpretieren k\u00f6nnen. Wir konzentrieren uns haupts\u00e4chlich auf die Cloud-Systeme, aber Sie k\u00f6nnten dies auch nutzen, um jedes Linux-System wirklich in Ordnung zu bringen.<\/p>\n

\"\"<\/p>\n

In diesem Praxis-Workshop vertiefen Admins ihre Wireshark-Kenntnisse, indem Sie reale Netzwerkprobleme und Sicherheitsbedrohungen in anonymisierten Fallstudien analysieren. Der Schwerpunkt liegt auf der praxisorientierten Fehlersuche in Netzwerkprotokollen wie IP, Ethernet, ICMP, HTTP und UDP. Dazu geh\u00f6rt die Analyse des TCP-Handshakes ebenso wie die Untersuchung von Performance-Problemen bei TCP-Verbindungen. Dar\u00fcber hinaus lernen die Teilnehmenden, Nutzdaten mit selbst entwickelten Skripten zu extrahieren und spezifische Pakete mit erweiterten Capture-Filtern langfristig aufzuzeichnen.<\/p>\n

Anmeldung und Termine unter heise.de\/s\/m1eL0<\/a><\/p>\n

iX: Wo liegt der Haupteinsatz von Stratoshark? Mehr als Debugging-Werkzeug oder als Sicherheits-Analysetool?<\/p>\n

Combs: Im Moment liegt der Fokus auf der Sicherheitsanalyse. Urspr\u00fcnglich haben wir Stratoshark als Erg\u00e4nzung zu Falco entwickelt \u2013 einem hostbasierten IDS (Intrusion Detection System, Anmerkung der Redaktion) f\u00fcr Systemaufrufe. Falco erkennt und meldet verd\u00e4chtige Ereignisse; Stratoshark erlaubt es, diese Events detailliert nachzuverfolgen. Wie in der Networking-Welt m\u00f6chte man oft einen tieferen Einblick in das bekommen, was auf dem System vor sich geht.<\/p>\n

iX: Wie viel Prozent des Codes teilt Stratoshark mit Wireshark? Wir haben Dissektions-Engines, Baumstrukturen zur Analyse, wie in Wireshark. Aber wie viel Prozent Code teilen sich die beiden Tools?<\/p>\n

Combs: Ich habe keinen konkreten Prozentsatz, aber es gibt eine Menge Code, der geteilt genutzt wird. Das ist auch beabsichtigt. Wir haben diese wirklich leistungsstarke Analyse-Engine, die quasi nur darauf wartete, verwendet zu werden. So haben wir sie angepasst, um sie auch f\u00fcr Systemaufrufe zu verwenden. Der UI-Code sieht wieder sehr vertraut aus. Das ist beabsichtigt. Wir m\u00f6chten diesen vertrauten Workflow haben, den man bereits aus Wireshark kennt. Wer die Arbeit mit Wireshark gewohnt ist, kann mit Stratoshark schnell loslegen und umgekehrt. Bei einigen der UI-Widgets gibt es ein paar Unterschiede in den Elementen.<\/p>\n

Der andere gro\u00dfe Unterschied ist die Art und Weise, wie wir die Ereignisse analysieren, die hereinkommen. Wir haben anderen Code f\u00fcr eingehende Ereignisse: Es ist ein Plug-in namens Falco, genauer Falco Bridge. Den Namen werden wir wohl noch in Falco Events \u00e4ndern.<\/p>\n

iX: F\u00fcr welche Betriebssysteme ist Stratoshark verf\u00fcgbar?<\/p>\n

Combs: Offiziell bieten wir auf den Wireshark-Seiten Pakete f\u00fcr Windows und macOS an. F\u00fcr Linux-Distributionen ist die Geschichte etwas komplexer. Die verschiedenen Linux-Distributionen haben traditionell ihre eigenen Wireshark-Pakete angeboten. Meine Hoffnung ist, dass sie das auch mit Stratoshark machen. Ich wei\u00df, dass das f\u00fcr Debian und Ubuntu in Arbeit ist. Ich m\u00fcsste aber pr\u00fcfen, ob dies auch f\u00fcr Fedora der Fall ist. Die Erfassung von Systemaufrufen funktioniert derzeit nur unter Linux.<\/p>\n

iX: Wie bekommt Stratoshark die relevanten Daten?<\/p>\n

Combs: Wir nutzen die Bibliotheken libsinsp and libscap, die von Falco und dem CLI-Tool Sysdig verwendet werden, um Systemaufrufe zu erfassen. Sysdig war, glaube ich, das erste Tool, das diese beiden Bibliotheken verwendete. Die Erfassung erfolgt wahlweise \u00fcber ein Kernel-Modul oder eBPF als eine Art neuere Standardtechnologie. Ich denke, wir werden uns in Zukunft auf eBPF konzentrieren. Zus\u00e4tzlich existiert eine Plug-in-Schnittstelle, mit der man etwa Daten aus GCP- oder Kubernetes-\u00dcberwachungsprotokollen sowie aus AWS Cloud Trail einspeisen kann.<\/p>\n

iX: Was steht als N\u00e4chstes auf der Stratoshark-Roadmap?<\/p>\n

Combs: Die aktuelle \u00f6ffentliche Version ist 0.9 und wir m\u00fcssen zun\u00e4chst alles in Form bringen. Wir arbeiten gerade an der Version 1.0, besonders an erweiterten Protokollanalyse-Funktionen. Danach folgt wahrscheinlich die finale Ver\u00f6ffentlichung im Sp\u00e4tsommer.<\/p>\n

\n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

Links zu verschenkten Artikeln werden ung\u00fcltig,
\n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"close notice This article is also available in English. It was translated with technical assistance and editorially reviewed…\n","protected":false},"author":2,"featured_media":207234,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[67279,67280,29,30,196,190,189,67281,67282,194,191,67283,193,192],"class_list":{"0":"post-207233","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-analyse-tool","9":"tag-cloud-native-computing","10":"tag-deutschland","11":"tag-germany","12":"tag-it","13":"tag-science","14":"tag-science-technology","15":"tag-stratoshark","16":"tag-sysdig","17":"tag-technik","18":"tag-technology","19":"tag-wireshark","20":"tag-wissenschaft","21":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114720147037446992","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/207233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=207233"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/207233\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/207234"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=207233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=207233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=207233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}