Sniffnet 1.5: Welches Tool funkt nach Hause?

Du kennst das: Irgendwas auf dem Rechner redet nach draußen, aber deine Logs sagen dir nur IPs, Ports und ein diffuses „da ist Traffic“. Genau da wird Sniffnet 1.5 spannend. Die neue Version ordnet Netzwerkaktivität endlich Programmen und Apps zu – inklusive offener Verbindungen pro Programm.

Für schnelle Checks, verdächtige Outbound-Verbindungen und den ersten Reality-Check auf einem Desktop oder Server ist das ein echter Fortschritt. Vor allem dann, wenn du nicht sofort Wireshark aufbohren oder mit mehreren CLI-Tools hantieren willst. Sniffnet bleibt dabei kostenlos, Open Source und läuft plattformübergreifend auf Windows, macOS und Linux.

Aber: Sniffnet ist kein Firewall-Ersatz, kein EDR und kein Remote-Sensor. Es blockt nichts, zeigt keine Payloads direkt in der App und überwacht nur den Host, auf dem es selbst läuft. Genau deshalb lohnt sich ein nüchterner Blick: Was kann es wirklich – und wann greifst du besser zu Wireshark, tcpdump oder einer Policy-Lösung?

Wenn du Admin oder DevOps bist, ist die wichtigste Frage nicht „Ist das cool?“, sondern: Spart mir das im Alltag Zeit, ohne neue Blindspots zu erzeugen? Darum geht’s hier.

Was Sniffnet 1.5 neu kann

Der große Sprung in Version 1.5 ist die Prozessidentifikation. Sniffnet zeigt jetzt, welche Programme aktiv Netzwerkverkehr erzeugen, und listet pro Programm die offenen Netzwerkverbindungen auf. Programme lassen sich außerdem als Favoriten markieren, damit du sie schneller wiedererkennst und Benachrichtigungen bekommst, wenn sie Traffic erzeugen.

1) Endlich: Traffic einem Programm zuordnen

Das klingt banal, war technisch aber nicht trivial. Laut Projekt-Doku arbeitet Sniffnet hier bewusst mit einem eher leichtgewichtigen, hostbasierten Ansatz statt mit tief eingreifenden Kernel-Hooks. Das ist sympathisch, hat aber einen Haken: Kurzlebige Verbindungen können durchrutschen, und manche privilegierten Systemprozesse bleiben für User-Space-Tools unsichtbar.

2) Custom-IP-Blacklists und Echtzeit-Hinweise

Sniffnet 1.5 kann eigene IP-Blacklists importieren. Das Dateiformat ist simpel: eine IP-Adresse pro Zeile. Wenn dann Traffic zu einer geblacklisteten Adresse auftaucht, kann dich das Tool benachrichtigen. Das ist nicht automatisch Threat Hunting, aber für schnelle Prüfungen, Lab-Setups oder den Abgleich mit internen IOC-Listen ziemlich nützlich.

3) Besserer Überblick vor dem Start

Ebenfalls neu: Die Startseite zeigt Traffic-Vorschauen für mehrere Netzwerkadapter. Das hilft, wenn du auf einem Host mehrere Interfaces, VPNs, Docker-Bridges oder virtuelle Adapter hast und erst mal sehen willst, wo gerade wirklich etwas passiert.

Wo Sniffnet stark ist – und wo es eben nicht reicht

Sniffnet positioniert sich nicht als Monster-Analyzer, sondern als benutzbares Desktop-Tool für Netzwerkeinblick mit GUI. Genau darin liegt die Stärke: Du bekommst flotten Überblick, Charts, Hosts, Services, Programme, Inspektionsansicht, Filter und PCAP-Export in einer Oberfläche, die deutlich weniger abschreckend wirkt als klassische Schwergewichte.

Wichtig ist aber die Abgrenzung. Sniffnet kann laut offizieller FAQ keinen Traffic blockieren. Es ist also keine Host-Firewall und auch kein Ersatz für Little Snitch, Windows Defender Firewall oder Policy-basierte Egress-Kontrolle. Außerdem zeigt es keine Paket-Payload direkt in der App; wenn du tiefer rein musst, exportierst du PCAP und gehst dann mit Wireshark weiter.

So setzt du’s um

Mini-Use-Case: „Welcher Prozess redet nach draußen?“

1. Installiere Sniffnet von der offiziellen Download-Seite für dein System. Es gibt Builds für Windows, macOS und Linux.
2. Unter Windows: Stelle sicher, dass Npcap installiert ist – laut Doku im WinPcap-kompatiblen Modus.
3. Unter Linux: Nutze Paketdateien oder setze die nötigen Capabilities auf das Binary; alternativ läuft die App per sudo.
4. Wähle auf der Startseite den aktiven Adapter. Die Traffic-Vorschau hilft dir, nicht den falschen zu erwischen.
5. Starte die Analyse und schau zuerst auf die Programme-Ansicht: Welche App erzeugt gerade Verbindungen?
6. Markiere erwartete Prozesse als Favoriten. Unerwartete Kandidaten prüfst du über offene Verbindungen, Ziel-IP, Domain und ASN weiter.
7. Wenn etwas komisch aussieht: Exportiere den Mitschnitt als PCAP und zieh ihn in Wireshark für die Tiefenanalyse.

Checkliste für den Admin-Alltag

• Erst Adapter prüfen, dann messen
• Favoriten für bekannte Prozesse pflegen
• Eigene IP-Blacklists einbinden
• Benachrichtigungen nur gezielt aktivieren, sonst nervt es schnell
• Bei echten Verdachtsfällen PCAP sichern und tiefer analysieren

Typische Fehler – und wie du sie vermeidest

„Sniffnet zeigt meinen Prozess nicht an“

Das kann passieren, ohne dass das Tool kaputt ist. Die Prozessidentifikation ist laut Projektentwickler ein Snapshot-basierter Kompromiss. Sehr kurze Verbindungen oder privilegierte Systemprozesse können deshalb unsichtbar bleiben. Wer hier absolute Vollständigkeit erwartet, baut sich falsche Sicherheit.

„Ich dachte, das blockt verdächtigen Traffic“

Tut es nicht. Sniffnet warnt, visualisiert und exportiert – aber es blockt keinen Verkehr. Wenn du aktiv unterbinden willst, brauchst du Firewall-Regeln, Egress-Policies oder ein anderes Produkt.

„Unter Linux funktioniert Capture nicht sauber“

Der Klassiker: fehlende Rechte oder fehlende Abhängigkeiten. Laut offizieller Doku brauchst du je nach Installationsweg passende Bibliotheken und oft Capabilities wie cap_net_raw und cap_net_admin – oder du startest die App mit sudo.

„Windows installiert, aber kein Capture“

Unter Windows ist Npcap Pflicht. Die Wiki nennt ausdrücklich die Installation im WinPcap-kompatiblen Modus. Ohne das suchst du dir unter Umständen einen Wolf und landest fälschlich bei „Tool kaputt“.

Sicherheits- und Compliance-Sicht: überraschend solide, aber nicht magisch

Sniffnet wirbt nicht nur mit „security-first“, sondern verweist auch auf ein externes Security-Audit. Laut Projektseite wurde die Software 2025 von Radically Open Security geprüft; erwähnt werden statische Analyse, Dependency-Checks, Fuzzing, dynamische Tests auf mehreren Plattformen sowie interaktive Tests auf Crashes und unerwartete Zustände. Der veröffentlichte Auszug aus dem Bericht bescheinigt dem Projekt keine Funde mit signifikanter Auswirkung.

Das ist gut und deutlich mehr, als viele kleine Tools überhaupt vorweisen. Es heißt aber nicht, dass du das Tool blind in jeden sensiblen Kontext schieben solltest. Compliance-seitig bleibt relevant: Sniffnet macht Reverse-DNS-Lookups für Hostnamen, arbeitet aber laut Audit weitgehend mit Offline-Datenbanken und ohne Markup-basierte Darstellung, was die Angriffsfläche reduziert.

Fazit: Für schnelle Wahrheiten sehr gut – für letzte Gewissheit nicht genug

Sniffnet 1.5 ist für Admins und DevOps ein ziemlich sinnvoller Release. Die neue Zuordnung von Traffic zu Programmen schließt eine Lücke, die das Tool bisher im Alltag klar limitiert hat. Zusammen mit Favoriten, Notifications, Blacklists und PCAP-Export ist das jetzt deutlich mehr als nur eine hübsche Netzwerkkarte.

Meine ehrliche Empfehlung: Nutze Sniffnet als schnellen Host-Truth-Check, wenn du verstehen willst, welche App oder welcher Prozess gerade wirklich kommuniziert. Sobald es um Payload, belastbare Forensik, Remote-Analyse oder harte Kontrolle geht, wechselst du auf die nächste Werkzeugstufe.

Nächster Schritt: Installier Sniffnet auf einem Testsystem, prüfe einen Host mit mehreren Browsern, Agenten oder Containertools parallel und bau dir eine kleine Blacklist plus Favoriten-Set. Dann merkst du in 15 Minuten, ob das Tool in deinen Alltag passt – oder nur nett aussieht.

FAQ