Background Traffic Monitoring

Mit der wachsenden Anzahl von ans Internet angeschlossenen Geräten ging sowohl in Firmennetzen als auch im Privatbereich die Übersicht verloren, welche Geräte aktiv sind und zu welchen externen Stellen Daten übertragen werden. Viele Internet Nutzer sind sich nicht bewusst, dass beispielsweise beim Aufruf von www.20min.ch ohne Zustimmung des Endnutzers im Hintergrund weitere Verbindungen zu anderen Endpunkten aufgebaut werden (Abbildung 1).
Es existieren bereits einige Tools für die Auswertung von Netzwerkverkehr, doch ist deren Bedienung kompliziert und erfordert entsprechendes Know-How.

In dieser Bachelorarbeit soll eine Applikation entwickelt werden, welche sowohl interessierten Laien als auch erfahrenen Informatikern Antworten zu folgenden Fragen in Bezug auf Hintergrundverkehr liefert:
Welche weitere Stellen werden beim Aufruf einer bestimmten Webseite noch kontaktiert?
Welche Geräte sind in einem Netz aktiv?

Zusätzlich soll aufgezeigt werden, ob veraltete Security Protokolle zum Einsatz kommen.
Die Applikation soll im Rahmen von Schulungen und zur Analyse der Situation bei Heim- und Firmennetzwerken genutzt werden können. Aus Aufzeichnungen des Netzverkehrs sollen Informationen zum Hintergrundverkehr extrahiert, interpretiert und in grafischer und tabellarischer Form präsentiert werden (Abbildung 2), um das Bewusstsein über Hintergrundverkehr zu steigern.

Die entwickelte App, für die Analysesoftware Splunk, reichert den aufgezeichneten Netzwerkverkehr mit Zusatzinformationen an. Mithilfe der App ist eine vereinfachte Analyse von Hintergrundverkehr möglich.
Beispielsweise wurde für einige in der Schweiz verbreitete Webseiten aufgezeigt, welche zusätzlichen Endpunkte angesprochen werden. Dabei zeigte sich, dass die Datenschutzerklärungen nicht immer genau angeben, welche zusätzliche Endpunkte verwendet werden.
Die Analyse von drei Speedtests für Mobile Devices ergab, dass bei Apps mit sehr ähnlichem Funktionsumfang grosse Unterschiede in der Anzahl und Art der im Hintergrund zusätzlich aufgebauten Netzwerkverbindungen bestehen: Der Speedtest von cnlab baut 37, der von OpenSignal 87 und jener von Ookla 164 Verbindungen auf.
Eine Analyse des Verhaltens bei Webseitenaufrufen mit und ohne Adblocker zeigt, dass ohne Adblocker wesentlich grössere Datenmengen übertragen werden als mit Adblocker: 40% mehr ankommende und 352% mehr ausgehende Daten. Bei der Adblocker Analyse konnte auch gezeigt werden, dass ohne Adblocker mehr veraltete Chiffren zum Einsatz kommen (Abbildung 3).
Die App wird in den kommenden Wochen im Splunk Appstore, der Splunkbase, veröffentlicht.