Netzwerküberwachung mit Raspberry Pi

Kurzversion

Für ein günstiges, flexibles und gut dokumentiertes Setup empfehle ich einen Raspberry Pi 4 (4 GB reicht oft) als Monitoring-Box. Auf dem Pi installierst du Tools wie tcpdump/tshark/Wireshark und optional Pi-Hole für DNS-Logging. Der Pi kann entweder per Port-Mirroring an einem verwalteten Switch oder als inline Bridge / Access-Point eingesetzt werden. Ich habe mich für die Kombination aus Raspberry Pi und tcpdump/Wireshark entschieden, da dies ein gängiger und dokumentierter Ansatz ist.

Was du an Hardware brauchst

Raspberry Pi 4 (4 GB oder 8 GB) + offizielles Netzteil.
microSD-Karte (16–32 GB) oder SSD (empfohlen für große Captures).

Option A (empfohlen): Managed switch mit Port-Mirror (SPAN) – damit kannst du Traffic vom Router/Access-Point an den Pi spiegeln.

Option B (wenn kein managed switch): USB-Gigabit-Ethernet-Adapter (USB3 → GbE) + zweite Netzwerkschnittstelle auf dem Pi, um ihn als inline Bridge zu nutzen. (Achte auf einen zuverlässigen Chip/treiber.)

Optional: Raspberry Pi-Gehäuse mit Kühlung.

(Alternativen: Orange Pi / NanoPi etc. funktionieren, sind aber weniger mainstream-supportet; Raspberry Pi hat aktuell die beste Dokumentation/Community.)

Software / Tools

Raspberry Pi OS (Lite oder Desktop)
tcpdump (capture)
tshark / dumpcap / Wireshark (Analyse; GUI/remote)
Pi-Hole (wenn du DNS-Level-Logging/Filtering willst) — sehr simpel zu installieren und nützlich zur schnellen Einsicht in DNS-Anfragen.

Installation

sudo apt update && sudo apt upgrade -y
sudo apt install -y tcpdump tshark
# Pi-Hole (optional)
curl -sSL https://install.pi-hole.net | bash

Es gibt drei mögliche Betriebsmodi (mit Vor-/Nachteilen)

Port-Mirroring (beste Variante)

Konfiguriere auf deinem managed switch Port-Mirroring: Der Pi hängt einfach an diesem Mirror-Port und nimmt passiv den gesamten Netzwerkverkehr mit.

Vorteil: zuverlässig, keine Störung des Netzwerks, kann alle Pakete sehen.
Nachteil: du brauchst einen managed switch (gibt es aber günstig gebraucht).

Inline Bridge mit zwei NICs (wenn kein Switch)

Pi mit zwei NICs (onboard eth0 + USB-GigE eth1).

Konfiguriere die beiden Interfaces als transparente Bridge (bridge-utils) und lasse Traffic durch den Pi laufen; parallel kannst du mitschneiden.

Vorteil: keine extra Hardware nötig.
Nachteil: potenzielle Engstelle / Latenz; wenn Pi abstürzt, fällt Segment aus — deswegen nur in Testumgebungen oder mit Vorsicht einsetzen.

Pi als Access Point / SoftAP

Pi fungiert als WLAN-AP: Client Geräte verbinden sich mit dem Pi-AP, der wiederum per NAT ins Internet geht — so siehst du deren Traffic.

Vorteil: Gut für gezielte Tests (ein Gerät oder ein Gerätetyp).
Nachteil: weniger transparent für das ganze Heimnetzwerk.

Konkretes Setup-Beispiel: Port-Mirror → Pi captures → Analyse

Hardware anschließen Pi per Ethernet an den Port, der als Mirror konfiguriert ist.
Capture starten (roh, rotating files) Beispiel mit tcpdump (schreibt 100 MB Dateien, rotiert 10 Dateien):

sudo tcpdump -i eth0 -s 0 -w /mnt/data/capture-%Y%m%d-%H%M%S.pcap -C 100 -W 10
Analyse

Kopiere die pcap(s) auf deinen Desktop und öffne sie in Wireshark, oder benutze tshark auf dem Pi für Headline-Statistiken:

tshark -r capture.pcap -q -z io,stat,0,COUNT Filter, die für IoT interessant sind: DNS-Anfragen (dns), mDNS (mdns), HTTP (http), TLS-SNI (bei unverschlüsseltem SNI sichtbar), IPs/Ports ungewöhnlich etc.

Langzeit-Monitoring / Dashboards (optional)

Extrahiere DNS-Logs in eine DB oder nutze Pi-Hole Dashboard für DNS-Überblick. Für tiefere Visualisierung: InfluxDB + Grafana (mehr Aufwand).

Performance-Hinweis

Raspberry Pi kann sehr gut für DNS-Logging, tcpdump und moderate Capture-Dauern eingesetzt werden. Für vollständige Gigabit-Line-rate Captures kommt es auf Menge und Dauer an — bei sehr hohem Durchsatz besteht die Gefahr, dass Pakete verloren gehen. Wenn du konstant Gigabit-Capture planst, sind spezialisierte Geräte oder ein Pi mit SSD und optimiertem capture workflow besser.

Praktische Tipps & „Kitchen Hacks“ für das Projekt

Capture-Rotation: zwingend, sonst füllt die SD-Karte. Nutze -C/-W bei tcpdump oder logrotate.
Schreibe auf eine externe SSD, wenn du lange/lots of data capture willst.
Filter schon beim Erfassen, z. B. tcpdump -i eth0 ’not port 53 and not port 123’ -w … — oder lieber erstmal komplett sammeln und lokal filtern.
DNS zuerst: Pi-Hole liefert sofort sichtbare Erkenntnisse über Tracker/IoT-Domains Sichere den Pi: SSH absichern, Updates, und setze das Gerät möglichst nicht exponiert ins WAN.

Beispiel-Usecases (was du mit den Daten findest)

Welches IoT-Device „telefoniert heim“ und wie oft.
Ungewöhnliche Verbindungen (z. B. zu seltenen Hosting-Providern).
Geräte, die kein TLS nutzen oder häufig Klartext-DNS abfragen.
Timing-Profiles: wann Geräte aktiv sind (nützlich für Privacy-Profiling-Awareness).

Rechtliches & Ethik

Überwache nur Netzwerke/Devices, die dir gehören oder für die du ausdrückliche Erlaubnis hast. Passive Analyse deines Heimnetzwerks ist OK; aktives Abfangen fremder Verkehre ohne Einwilligung kann strafbar sein. Handle verantwortungsvoll.

Weiterführende Lektüre

Anleitung: Wireshark auf Raspberry Pi — Installation & Nutzung.
Sehr einfacher Einstieg in Pi-Hole: Pi-Hole (DNS-Logging / Network-wide blocker)

Cyber Kitchen Hacks

Projekt: Heim-Netzwerk-Traffic mit einem Raspberry Pi überwachen