Netzwerkanalyse und Fehlersuche

Kapitel 11
Netzwerkanalyse und Fehlersuche
IP-Netzwerke sind inzwischen allgegenwärtig und nicht mehr ausschliesslich die Domäne von
Freaks und Administratoren, die irgendwo im geheimnisvollen Hintergrund werkeln. Linux
ist seit Anbeginn ein Netzwerkbetriebssystem, fast alle heute betriebenen Linux-Maschinen
verwenden irgendwo das Internet-Protokoll. Viele Applikationen sind auf das Funktionieren
der Netzwerkverbindungen angewiesen. Sie stellen jedoch durchaus unterschiedliche Anforderungen.
Viele Nutzer und viele Dienste in grossen Netzwerken rufen auch dunklere Gestalten
auf den Plan. Denen möchte ein Administrator keine überflüssige Angriffsfäche bieten oder
er will deren Aktivitäten später nachvollziehen.
Dieses Kapitel gibt Systemadministratoren Hinweise, wie sie bestimmte Netzwerkprobleme
aufspüren können und welche Werkzeuge ihnen unter Linux zur Seite stehen. Die
Aufgaben von Netzerwerken sind vielfältig. Die Netzwerkstrukturen einer vernetzten WG
oder Familie unterscheiden sich von denen einer großen Organisation oder Firma. Trotzdem
gibt es eine Reihe von Fragestellungen, die sich gleichen.
11.1 Überblick
Schon mit einer recht überschaubaren Anzahl von Werkzeugen läßt sich vielen Netzwerkproblemen
qualifiziert zu Leibe rücken. Eine ganze Reihe sehr einfacher Tools, wie ping, telnet
oder netstat steht eigentlich in jeder Grundinstallation einer Linux-Maschine dem Admin
zur Verfügung. Dabei wird das Kommando telnet häufig als Relikt alter Remote-Shells
unterschätzt.
Es erlaubt einfache Verbindungstests auf TCP-Dienste, um bespielsweise die Erreichbarkeit
von Maschinen zu testen, die ICMPs selbst oder deren Firewalls ICMP blockieren.
Mit nmap sieht der Admin sich sein Netz und seine Maschinen mit den Augen eines potenziellen
Angreifers an. Diesen Hammer muss man jedoch nicht sofort schwingen, wenn man
selbst Admin auf der zu untersuchenden Maschine ist. lsof oder netstat zeigen auf Server
selbst an, welche Verbindungen gerade offen sind und welche Dienste diese anbieten.
Abgerundet wird die Tool-Suite durch Paketsniffer, wobei ethereal fast keine Wünsche
mehr offen läßt und den Vergleich mit teuren kommerziellen Produkten kaum scheuen muss.
Für das Verständnis der meisten Aspekte der Netzwerkanalyse sind einige Grundkenntnisse
des Aufbaus und der Funktionsweise der Netzwerkprotokolle ganz nützlich.
11.1.1 Aufgabenfelder
Netzwerkanalysen können sehr unterschiedliche Fragestellungen beantworten. So möchte
man vielleicht wissen, ob eine entfernte Maschine, beispielsweise der Webserver, den man
157

158 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
nebenbei betreut, überhaupt noch erreichbar ist. Oder man fragt sich, weshalb die Daten nur
durch die Leitung tröpfeln, obwohl die gemietete DSL-Verbindung mit 2 Mbit/s nicht die
langsamste ist. In anderen Szenarien wollen Admins vielleicht wissen, was für Informationen
ein Client mit einem Server austauscht.
Für den weiteren Verlauf wurden die Fragestellungen in drei Bereiche aufgeteilt. Diese
sind nicht völlig streng voneinander abzutrennen. Die Aufteilung soll aber helfen das sehr
weite Feld der Netzwerkanalyse zum besseren Verständnis etwas zu strukturieren.
Eine klassische Fragestellung ist die Erreichbarkeit von Maschinen und Diensten im
Netz. Wenn im Webbrowser die Seite einer bestimmten Site nicht angezeigt wird, kann
das verschiedene Ursachen haben. Ein Rechner mit einer Internet-Adresse muss korrekt
konnektiert sein, damit er von überall aus dem Netz erreicht werden kann. Ist dieses gegeben,
kommt es im nächsten Schritt darauf an, dass die richtigen Dienste an den richtigen Ports
auf Anfragen warten.
Nicht nur die bösen Jungs im Netz verwenden Paketsniffer. Diese Klasse von Tools hilft,
den Inhalt von Paketen sichtbar zu machen. So werden nicht nur unverschlüsselte Standardprotokolle
in ihrer Nutzung aufgedeckt, sondern können auch komplexere Fehler gefunden
werden. So melden Protokolle wie DHCP selten die kompletten Anfragen eines Clients im
Logfile. Ebenfalls haben Clients, die mittels ROM booten gar nicht die Möglichkeit viel Code
für Debugging im ROM unterzubringen. Hier kann der Netzwerkadministrator herausbekommen,
was für eine Anfrage der Client mit welchen Parametern gestellt hat. Genauso
kann er sehen, ob der Server überhaupt geantwortet hat und was den Inhalt dieser Antwort
ausmachte.
Oft sind Maschinen erreichbar, die Client-Applikation spricht mit dem Server und trotzdem
sind die Nutzer im eigenen Netz alles andere als zufrieden mit der Performance. Besonders
kritisch wird es beim Telefonieren über das Netz via Voice-over-IP oder Online-Spielen.
Hier kommt es darauf an, wie eine Leitung oder ein Router ausgelastet ist, in welcher Richtung
die Daten hauptsächlich fliessen und ob es zu Staus kommt. Nicht immer lassen sich
alle Probleme beeinflussen, besonders wenn sie ”irgendwo anders” im Netz auftreten. Oft
kann man jedoch den Benutzern eine qualifizierte Auskunft geben, warum beispielsweise
die eine VoIP-Verbindung sehr gut, die andere jedoch eher lausig funktioniert.
11.1.2 Namensauflösung - ja oder nein
Bei der Netzwerkkommunikation sind üblicherweise Maschinen beteiligt, die über einen sogenannten
Full Qualified Domain Name (FQDN) verfügen. Sie können damit neben ihrer
IP auch über diesen Namen weltweit angesprochen werden. Die Übersetzung zwischen Namen
und IP-Adressen übernimmt im Hintergrund das Domain Name System 1 . DNS ist ein
Dienst, der auf der Basis von IP funktioniert. IP funktioniert ohne DNS, DNS jedoch nicht
ohne IP.
Bei der Netzwerkanalyse kann es hilfreich sein, sich den Namen der miteinander Daten
austauschenden Maschinen anzeigen zu lassen. Eine WWW-Verbindung zu www.google.com
erhält je nach Netzteilnehmer sicherlich eine andere Einschätzung, als eine Verbindung zu
der etwas kryptischen Adresse s0106000c6ed855d2.vs.shawcable.net. Aber auch der zweite
Name gibt ziemlich gut Auskunft über die Funktion der Maschine.
Jedoch generiert jede Auflösung einer Adresse in einen Namen zusätzlichen IP-Verkehr.
Dieser kann schmale Bandbreiten zusätzlich belasten oder zu hohen Verzögerungen in den
Analyse-Tools führen, wenn diese auf eine Antwort des jeweiligen DNS-Servers warten
müssen. Bei starker Auslastung von Maschine und Netzwerkinterface gehen dem Monitor-
1 DNS - siehe eigenes Kapitel zu diesem Thema

11.2. ERREICHBARKEIT VON DIENSTEN UND MASCHINEN 159
Tool bei eingeschalteter DNS-Auflösung auch schon mal Pakete durch die Lappen, da der
Aufwand höher ist, als nur IP-Adressen direkt aus dem jeweiligen Paket auszulesen. Deutlich
geschickter ist es in vielen Fällen die Auflösung nach Namen abzuschalten und später
manuell für die interessant oder problematisch erscheinenden Verbindungen dieses nachzuholen.
11.2 Erreichbarkeit von Diensten und Maschinen
Die Erreichbarkeit von Maschinen im Internet ist eine Grundvoraussetzung für eine erfolgreiche
Kommunikation.
11.2.1 Ping und Erweiterungen
In der Schifffahrt senden so genannte Echolote ein Ultraschallsignal aus, um U-Boote
und Hindernisse im Wasser zu orten. Das Signal wird reflektiert und mittels speziellem
Empfänger hörbar gemacht. Es ist ein kurzes ”Ping” zu hören. Diesem Mechanismus ist
das Kommando ping nachempfunden. Es benutzt das Internet Control Message Protocol,
ein IP-Hilfsprotokoll für Fehler- und Kontrollmeldungen, wie Ping-Requests und -replys.
Ping nimmt als Argument entweder eine IP-Adresse oder einen Hostnamen. Der Name
wird per DNS zur IP aufgelöst und diese dann angezeigt:
linux02:~> ping google.de
PING google.de (216.239.39.104) 56(84) bytes of data.
64 bytes from 216.239.39.104: icmp_seq=1 ttl=240 time=104 ms
64 bytes from 216.239.39.104: icmp_seq=2 ttl=240 time=105 ms
--- google.de ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 104.370/104.694/105.018/0.324 ms
Darüberhinaus meldet ping den (Mis-)Erfolg der Aktion und wie lange die Pakete im Schnitt
für ihre Reise durchs Netz benötigten. Man kann zudem probieren auf die Broadcast-Adresse
des eigenen Netzes zu pingen. Hier sollte keine Maschine antworten. Andernfalls ist das
Subnetz für Flood-Pings, eine Denial-of-Service-Attacke zum Vervielfachen von Paketen,
anfällig.
Ping kennt eine Reihe von Optionen, mit denen sich sein Verhalten anpassen läßt. Mit
der Option ”-s” legt man die Paketgröße fest. Große Pakete brauchen länger als sehr kurze.
Sehr große Pakete müssen fragmentiert werden, bevor sie verschickt werden können.
linux02:~> ping -c 1 -s 1400 132.230.9.254
PING 132.230.9.254 (132.230.9.254) 1400(1428) bytes of data.
1408 bytes from 132.230.9.254: icmp_seq=1 ttl=255 time=1.12 ms
--- 132.230.9.254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.126/1.126/1.126/0.000 ms
linux02:~>
linux02:~> ping -c 1 -s 50 132.230.9.254
PING 132.230.9.254 (132.230.9.254) 50(78) bytes of data.
58 bytes from 132.230.9.254: icmp_seq=1 ttl=255 time=0.436 ms
--- 132.230.9.254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.436/0.436/0.436/0.000 ms

160 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
linux02:~>
linux02:~> ping -c 1 -s 14000 132.230.9.254
PING 132.230.9.254 (132.230.9.254) 14000(14028) bytes of data.
14008 bytes from 132.230.9.254: icmp_seq=1 ttl=255 time=5.21 ms
--- 132.230.9.254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 5.214/5.214/5.214/0.000 ms
Wenn man ein bestimmtes ”Ping” auf der Strecke mit einem Packet-Sniffer identifizieren
will, hilft die Option ”-p ”. Damit kann man ein Pattern, ein Muster angeben.
Eine grobe Performance-Messung im Netzwerk läßt sich durch Flooding testen ping -f
Ziel-Rechner schickt soviele Pakte, wie die Schnittstelle versenden kann. Diese Option
ist deshalb nur dem Administrator vorbehalten. Wenn eine ganze Reihe von Maschinen
hintereinander angepingt werden sollen, macht es Sinn, nach beispielsweise drei Versuchen
abzubrechen und einen Timeout anzugeben. Das regeln ”-c” für Count und ”-W” für die
Wartezeit.
Das klassische ping wurde für Einzelrechner entworfen, auf Broadcast-Pings sollten
Maschinen nicht mehr antworten. Für das Pingen vieler Maschinen gibt es deshalb das
Kommando fping.
hermes:~ # fping -C 3 -q -g 10.8.4.1 10.8.4.10
10.8.4.1 : 1.24 0.67 0.67
10.8.4.2 : 0.83 0.27 0.25
10.8.4.3 : - - -
10.8.4.4 : - - -
10.8.4.5 : - - -
10.8.4.6 : - - -
10.8.4.7 : 1.34 0.61 1.02
10.8.4.8 : - - -
10.8.4.9 : - - -
10.8.4.10 : - - -
Im Beispiel wurden alle Maschinen im IP-Bereich von 10.8.4.1 - 10 drei Mal angepingt und
das Ergebnis in netter Tabellenform mit den ermittelten Werten dargestellt. Die Option ”-C
3” sorgte für Anzahl der Pings und deren Tabellendarstellung, ”-g” nimmt als Argument
IP-Listen entgegen. Alternativ zum Beispiel ginge auch 10.8.4.0/29 für die ersten acht IP-
Adressen von 10.8.4.0 - 7. Mit ”-q” beschränkt sich fping auf die Ergebnisdarstellung. Die
Nichterreichbarkeit wurde durch das ”-” angedeutet. Fping kennt noch eine ganze Reihe
weiterer Optionen, die sich in der ausführlichen Manpage finden.
Auf der anderen Seite von ping und traceroute steht das kleine Programm icmpmon.
Es protokolliert auf einer Maschine eintreffende ICMP-Pakete. Diese beantworten nicht nur
Ping-Anfragen, wie im Beispiel oben. Die Zahl der ”v” steuert die ”Geschwätzigkeit” der
Ausgabe.
s02:/tmp # icmpinfo -vvv
icmpinfo: Icmp monitoring in progress...
Apr 12 22:09:39 ICMP_Echo < 132.230.1.142 [login2.ruf.uni-freiburg.de] sz=64(+20)
0000 : 4500 0054 0000 4000 3E01 B037 84E6 018E E..T..@.>..7....
0010 : 84E6 8117 0800 297E 8248 0001 8D29 5C42 ......)~.H...)\B
0020 : 71C9 0600 0809 0A0B 0C0D 0E0F 1011 1213 q...............
0030 : 1415 1617 1819 1A1B 1C1D 1E1F 2021 2223 ............ !"#
[ ... ]
Apr 12 22:13:44 ICMP_Time_Exceeded < 129.143.15.141 [Freiburg1.Belwue.DE] >
134.76.60.86 [stud9.stud.uni-goettingen.de] sp=64009 [vcnet-link-v10]

11.3. NMAP - OFFENE MASCHINEN UND NETZE 161
dp=33443 seq=0x003037aa sz=36(+20)
0000 : 4500 0038 0000 0000 FC01 27AB 818F 0F8D E..8......’.....
0010 : 84E6 8117 0B00 4078 0000 0000 4500 0044 ......@x....E..D
0020 : 6553 0000 eS..
[ ... ]
Angreifer könnten versuchen durch ICMP-Redirects die Kernel-Routing-Tabelle zu verändern.
Weniger dramatisch sind die durch traceroute bewusst ausgelösten Time-Exceeded-
Meldungen. Sie weisen darauf hin, dass bei einem von der Maschine abgeschickten Paket
wärend des Transports die TTL abgelaufen ist.
11.2.2 Mögliche weitere Probleme
Meldet (f)ping die Unerreichbarkeit einer Maschine, kann dieses mehrere Ursachen haben.
Es kann beispielsweise ein Fehler im Routing vorliegen. Dann hilft das Kommando traceroute
beim Nachverfolgen der Strecke. Oder der Admin der Maschine hat ICMP per Firewall
geblockt. Dann gibts für den einfachen Test von TCP-Ports Telnet oder das Super-Tool
nmap. Telnet ist eine Netzwerk-Applikation, die TCP benutzt. Als Remote-Login sollten
Sie es auf keinen Fall verwenden, da es unverschlüsselt arbeitet. Die Auswirkungen sehen
Sie weiter hinten bei ethereal. Es eignet sich jedoch gut, auf die Erreichbarkeit von TCP-
Ports zu testen. An einer Konsole gibt man ein: telnet Ziel-Host Ziel-Port. Ziel-Host
kann eine IP-Adresse oder ein Rechnername sein. Der Zielport ist eine Zahl zwischen 0
und 65535 oder das Dienstkürzel. Die Zuordnung der Portnummern zu Namen für TCP
und UDP findet sich in der Datei /etc/services. Nicht nur das Programm Telnet macht von
dieser Datei Gebrauch.
So liefert ein ”get” auf Port 80 (alternativ: http) eines HTTP-Servers oft eine mehr
oder weniger sinnvolle Antwort, SMTP-Server melden sich mit ihrer Kennung und Dienste,
die SSL verwenden, lehnen zumindest die Verbindung nicht ab. Lauscht kein Dienst am
angesprochenen Port, dann lehnt der Ziel-Host die Verbindung ab.
dirk@mobile ~ $ telnet rz.uni-freiburg.de smtp
Trying 132.230.2.42...
Connected to rz.uni-freiburg.de.
Escape character is ’^]’.
220 uni-freiburg.de ESMTP CommuniGate Pro 4.2.9 is glad to see you!
^]
telnet> close
Connection closed.
Im Beispiel meldete sich der SMTP-Server mit seiner Versionsnummer. Aus der Telnet-
Sitzung kommt man mit dem Tastaturkürzel [Strg]-[AltGR]-[9]” (”ˆ]”) wieder heraus.
11.3 NMAP - offene Maschinen und Netze
Jeder Dienst, der sich ansprechen lässt und jedes Netz, in das man eindringen kann, bietet
zwangsläufig Angriffspunkte. Das ”Hacker-Werkzeug” schlechthin ist nmap. Es dient dazu,
offene Netze und auf den enthaltenen Maschinen offene Ports zu finden. Beim Portscanning
geht es bildlich gesehen um das ”Anklopfen an die verschiedenen Türen” des Zielrechners,
um festzustellen ob sich etwas Interessantes dahinter befindet. Genauer gesagt will ein Angreifer
üblicherweise herausfinden welche TCP und UDP-Dienste auf dem Zielsystem laufen,
um sich durch diese gegebenenfalls unauthorisierten Zugang zum System zu erlangen.

162 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Um Problembereiche in eigenen Netzen selbst aufzuspüren, sollte man die Tools kennen
und unter Umständen benutzen, da sie Auskunft geben, was potenzielle Angreifer reizvoll
finden könnten.
Die gescannten Ports einer Maschine klassifiziert Nmap in der folgenden Weise:
• open: Ein Dienst akzeptiert an diesem Port eingehende TCP oder UDP-Connects. Ein
offener Port kann gegebenenfalls missbraucht werden, um Zugang zum Zielsystem zu
erlangen
• closed: Ein Port, der als ”closed” festgestellt wurde, ist zwar erreichbar, aber unbenutzt.
Es arbeitet kein Dienst dahinter. Dennoch kann es sinnvoll sein, solche Port
zur OS-Erkennung mit einzubeziehen.
• unfiltered: Dieser Zustand kann nur beim ACK Scan auftreten, bei dem versucht wird
die Firewall-Regeln zu mappen. Mit ”unfiltered” bezeichnet Nmap erreichbare Ports
von denen es nicht entscheiden kann ob sie offen oder nicht benutzt sind.
• filtered: Wenn der Portscanner nicht in der Lage ist zu erkennen, ob ein Port ”open”
oder ”closed” ist, wird er als ”filtered” eingestuft. In solchen Fällen verhindert eine
Firewall (als Paketfilter) das Erreichen des Ports.
• open, filtered: Dieser Zustand tritt bei Scans ein, bei welchen von offenen Ports keine
Antwort erwartet wird. Hierbei kann die fehlende Antwort auch Resultat einer
Firewall sein, die den Port blockiert.
• closed, filtered: Nmap ist sich unsicher, ob der Port als ”offen, filtered” einzustufen
ist.
11.3.1 Scan-Methoden
Nmap implementiert eine weitreichende Sammlung von Scan-Methoden, die in Abhängigkeit
eines erwarteten Dienstes an einem Port, benötigt werden um eine korrekte Identifizierung
zu erreichen. Darüberhinaus erlaubt Nmap die Offensichtlichkeit eines Scans zu reduzieren.
Die nachfolgende Liste stellt die wichtigsten Scans zusammen:
• TCP SYN ”-sS” Der SYN Scan wird auch als halboffener Scan bezeichnet, da auf den
kompletten Three-Way-Handshake verzichtet wird. Wenn nach dem senden des TCP
Paketes mit dem SYN-Flag ein ACK als Antwort folgt, geht Nmap von einem offenen
Port aus. Kommt als Antwort ein RST, wird der Port als geschlossen deklariert und
wenn keine Antwort oder ein ICMP UNREACHABLE Fehler folgt, kann man vermuten,
dass eine Firewall den Datenverkehr kontrolliert. Für den SYN Scan braucht der
Nmap-Benutzer Admin-Rechte, da sogenannte Raw-Packets verschickt werden. SYN
Scans sind nur schwer zu erkennen, da keine vollständige TCP Verbindung aufgebaut
wird. Diese Methode arbeitet sehr schnell.
• TCP Connect() ”-sT” Der TCP Connect() Scan kommt dann zum Einsatz, wenn ein
SYN Scan nicht möglich ist. Es wird eine komplette TCP Verbindung zum jeweiligen
Port aufgebaut. Nmap verwendet hierfür den connect() Systemaufruf, wie er auch
von Web-Browsern und in P2P Netzwerken verwendet wird um eine Verbindung zu
initiieren. Diese Methode arbeitet deutlich langsamer als der SYN Scan und hinterlässt
zudem Spuren in den Log-Dateien des Zielsystems.

11.3. NMAP - OFFENE MASCHINEN UND NETZE 163
• TCP Null ”-sN” Bei dieser Methode wird ein TCP Paket ohne gesetzte Flags abgeschickt.
Hält das Zielsystem RFC 793 ein, sendet es ein RST für alle geschlossenen
Ports und keine Antwort für alle offenen Ports zurück.
• TCP FIN ”-sF” Bei dieser Methode wird ein TCP Paket mit gesetztem FIN-Flag
abgeschickt. Wird das RFC 793 auf dem Zielsystem eingehalten, kommt ein RST für
geschlossene Ports und keine Antwort für offene Ports zurück. Dieser Ansatz funktioniert
normalerweise nur bei UNIX basierten TCP/IP Stack Implementationen, da
sich Microsoft nicht an die Standards gehalten hat.
• TCP Xmas ”-sX” Bei dieser Methode wird ein TCP Paket mit gesetztem FIN-, URGund
PSH-Flag abgeschickt. Es gilt das oben zu RFC 793 gesagte.
• TCP Ack ”-sA” Diese Methode wird dazu verwendet mehr über die Firewall herauszufinden.
Durch schicken eines TCP Paketes mit gesetztem ACK Flag sieht es so aus
als wenn vom internen Netz ein SYN Paket geschickt worden wäre und wird somit von
einem normalen Paketfilter durchgelassen. Ein zustandsbezogener Paketfilter merkt
hingegen, dass kein SYN Paket vom internen Netz gesendet wurde und blockiert das
Paket.
• Individual ”–scanflags” Nmap erlaubt es TCP Pakete mit individuellen Flags abzuschicken.
Dies kann sinnvoll sein, da viele Intrusion Detection Systeme Standard-
Scans entdecken können. So schickt man mit der Option --scanflags FINURG ein
TCP Paket mit gesetztem FIN und URG Flag ab. Zusätzlich wird festgelegt, wie
Rückmeldungen interpretiert werden sollen. Zum Beispiel wird bei ”-sA” keine Rückmeldung
als ”Port offen” interpretiert.
• UDP ”-sU” UDP Scans sind sehr zeitaufwendig, jedoch unumgänglich um UDPbasierte
Dienste wie beispielsweiwe TFTP, DHCP, DNS oder SNMP zu entdecken.
Der UDP Scan kann mit einem der TCP-Scans kombiniert werden.
Eine technisch gesehen interessante Untersuchung ist der Idle-Scan. Hierbei handelt es sich
um einen ”blinden” TCP Scan. Bei dieser Methode wird die IP Fragmentation-ID ausgenutzt
um über eine weitere Maschine das Zielsystem auszuspionieren. Das Prinzip des Idle-
Scans ist in Abbildung ?? beschrieben. Die untersuchte Maschine darf zum Überprüfungszeitpunkt
nicht im Netzwerk ativ sein. Dann erhöht sich die Fragment-ID nur um +1 wenn
der angesprochene Port beim Zielsystem geschlossen ist und um +2 wenn der Port offen
ist. Abgesehen von der Unsichtbarkeit des Angreifers, da es so aussieht als ob die dritte
Maschine den Scan initiiert hat, können auf diese Weise Vertrauensbeziehungen zwischen
Systemen ermittelt werden.
Wenn beispielsweise der Zugriff auf eine Datenbank auf einer anderen Maschine nur
dem Web-Server gestattet ist, jedoch nicht dem normalen Internet-Nutzer, zeigt ein direkter
Portscan keine offenen Ports an, ein Idlescan mit dem Web-Server als Zombie jedoch sehr
wohl.
Eine weitere Möglichkeit besteht mit FTP Bounce Scans ”-b user:passwort@ftpserver:port”
bei schlecht konfigurierten FTP-Servern. So ist es möglich diese als Portscan-Proxys zu
missbrauchen. Der FTP-Server kann angewiesen werden eine Datei an Ports eines dritten
Systems zu schicken. Anhand der resultierenden Fehlermeldung kann herausgefunden
werden ob der entsprechende Port geöffnet oder geschlossen ist. Vorteil ist die Verschleierung
des Scans gegenüber des Zielsystems, ausserdem kann, wenn ein FTP-Server aus dem
Zielnetz missbraucht wird, die Firewall umgangen werden.

164 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
11.3.2 Aufruf und Benutzung
Nmap arbeitet in der klassischen Ausgabe auf der Kommandozeile. Es gibt aber auch ein
GTK-Frontend - nmap-fe, welches die Benutzung unter einer grafischen Oberfläche erleichtert.
Es blendet am unteren Bildrand die Befehlszeile ein, wie es nmap aufruft. So läßt sich
die Wirkung der einzelnen Schalter im User-Interface sehen. Auch auf der Kommandozeile
kennt nmap einen interaktiven Modus; aufzurufen durch nmap --interactive.
Um festzustellen, wieviele Maschinen ein Netz enthält, kann man ein ganzes Subnetz
pingen, was einfacher als der direkte Versuch mit ping ist. Hierzu ruft man nmap wie folgt
auf:
hermes:~ # nmap -sP 10.8.4.0/24
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-09-29 00:42 CEST
Host 10.80.4.0 seems to be a subnet broadcast address (returned
1 extra pings).
Host 10.80.4.1 appears to be up.
MAC Address: 00:0F:66:C7:73:E8 (Cisco-Linksys)
Host dell.wg.site (10.8.4.204) appears to be up.
MAC Address: 00:08:74:4D:6F:3F (Dell Computer)
Host 10.80.4.212 appears to be up.
MAC Address: 00:02:B3:C2:55:91 (Intel)
Host 10.80.4.220 appears to be up.
MAC Address: 00:10:A4:8D:56:0A (Xircom)
Host hermes.wg.site (10.8.4.254) appears to be up.
Host 10.80.4.255 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap run completed -- 256 IP addresses (5 hosts up) scanned in 5.475 seconds
Nmap scannt ganze Netze in der Form 192.168.2.0/24 für ein Klasse-C-Netz oder IP-Netze
durch Angabe von Wildcards und Reichweiten: 192.168.1-11.* Man kann auch nur einzelne
Rechner durch Angabe der Host-IP oder des Namens direkt ansprechen. Für die meisten
Scans werden Root-Rechte benötigt: wie für ”-sS”, den SYN Port-Scan oder ”-sU”, den
UDP-Scan. Nmap kann sein Timing für Scans durch die Angabe von ”-T Art” sehr unterschiedlich
intensiv gestalten.
Es existieren eine Reihe weiterer Optionen von nmap, die ein effektives Untersuchen
von Zielsystemen erleichtern:
• Dont Ping ”-P0” Dies ist eine Möglichkeit Nmap anzuweisen ein Zielsystem zu scannen
ohne dieses vorher ”anzupingen”. Da viele Systeme im Internet nicht auf ICMP ”Echo
Requests” antworten, ist es oft sinnvoll diesen Parameter zu benutzen.
• Timing ”-T0-5” Der default Timingwert von Nmap steht auf -T3. Wenn man über
einen schnellen Internetzugang verfügt, lässt sich zur Beschleunigung des Scans die
Option ”-T4” verwenden. Mit der Option ”-T5” gehen meist zu viele Antworten des
Zielsystems verloren, da Nmap nicht lange genug auf Antwortpakete wartet. Um bei
hohen Sicherheitsstandards des Zielsystems zu verhindern, dass ein IDS den Scan
bemerkt, kann das Timing mit ”-T0” oder ”-T1” herunter gesetzt werden. Dieses
erhöht selbstredend die Dauer eines Scans.
• Ports ”-p ports” Üblicherweise scannt nmap nicht alle 65535 Ports, da dieses wegen
der abzuwartenden Timeouts viel zu lange dauern würde. Es beschränkt sich auf die
privilegierten niedrigen Portnummern. Wenn ein bestimmter Dienst gesucht wird, ist
es effektiver wenn der Scan nur bestimmte vordefinierte Ports eingeschränkt wird.
Das regelt die Option ”-p 1-1023,1080,2237,5060,6667”.

11.3. NMAP - OFFENE MASCHINEN UND NETZE 165
• Versionserkennung ”-sV” Da Dienste nicht unbedingt auf ihrem Standard-Port lauschen
müssen, verfügt nmap über eine umfangreiche Versions-Erkennung von unterschiedlichen
Diensten. Dazu greift es auf die eigene ”service probes” Datenbank
zurück, welche es erlaubt viele Dienste anhand ihres Verhaltens zu identifizieren.
Wenn man mit nmap ein Netz regelmäßig überprüfen will, startet es am besten skriptgesteuert
im Hintergrund. Man kann mit ”-iL Datei” die Ziele aus einer Datei lesen und mit
”-oN/-oX/-oG Log-Datei” die Ergebnisse im Normal-, XML- oder grep-optimierten Format
in ein Logfile schreiben lassen. Die DNS-Auflösung lässt sich wie von anderen Netzwerkkommandos
gewohnt mit der Option ”-n” abschalten.
11.3.3 OS-Fingerprinting
Wenn man feststellen möchte, was für ein Betriebssystem sich hinter einer Maschine verbirgt,
hilft die Option ”-O” für den OS-Fingerprint. TCP/IP ist zwar standardisiert, aber
nicht jedes Betriebssystem antwortet gleich. Beim sogenannten Stack-Fingerprinting wird
anhand von spezifischen Reaktionen auf bestimmte auch ”kaputte” Anfragen erkannt, welches
Betriebssystem auf dem Zielsystem installiert ist. Es gibt zahlreiche Hinweise, die zur
Erkennung der unterschiedlichen Betriebssysteme führen können:
• TCP ISN Muster: Hierbei wird nach Mustern in der initialen Sequenznummer, welche
von der TCP-Implementation ausgewählt wird, gesucht.
• IP oder Fragment-ID: Die meisten Betriebssysteme erhöhen eine systemweite Fragment-
ID im IP-Header für jedes abgeschickte Datenpaket. OpenBSD geht hier anders vor
und wählt die Fragment-ID zufällig. Bei Windows wird das Header-Feld für jedes Paket
um 256 erhöht. Vorhersagbare ID’s können zu Sicherheitsproblemen führen, da
sie beispielsweise Scans über Dritte erlauben.
• Dont Fragment Bit: Viele Betriebssysteme verwenden das ”Dont fragment” Feld im
IP-Header in einigen Fällen zur Optimierung des Datentransfers. Jedoch wird dies
auch nicht von allen Betriebssystemen unterstützt und von manchen nur in bestimmten
Fällen eingesetzt.
• FIN Sonde: Sendet ein TCP FIN Paket und wartet auf Antwort. Nach RFC 793 sollte
keine Antwort zurück kommen, jedoch senden viele schlampige Implementationen des
TCP-Protokolls, wie bei Microsoft Windows, ein RST-Paket zurück.
• Bogus Sonde: Es wir ein TCP SYN Paket mit undefiniertem Flag auf Bit 7 oder
8 geschickt. Ältere Linux Kernel schicken in ihrem Antwort Paket das undefinierte
Flag wieder mit. Andere Betriebssysteme brechen die Verbindung ab, wenn in einem
TCP-Paket ein SYN zusammen mit einem undefinierten Flag eintrifft.
• TCP Zeitstempel: Der TCP Zeitstempel ist ein optionaler Wert. Manche IP-Stacks
unterstützen ihn nicht, andere erhöhen den Zeitstempel in bestimmten Frequenzen.
Nmap kann mithilfe des Zeitstempels auch die ”uptime” einer Maschine bestimmen.
• TCP Initiales Fenster: Nmap kann oft schon durch die alleinige Bestimmung der
”inital window size” ermitteln, welches Betriebssystem antwortet, da diese meistens
sehr spezifisch ist.
• ICMP Behandlung: Einige Betriebssysteme regulieren die Rate des Sendens von Fehlermeldungen.
Bei ICMP Fehlermeldungen wird von manchen Betriebssystemen ein

166 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Teil der Nachricht zurückgeschickt, welche den Fehler verursacht hat. Auf diese Weise
können sogar Systeme ohne offene Ports identifiziert werden.
• Type of Service: Bei ICMP PORT UNREACHABLE Nachrichten wird normalerweise
das ToS Feld im IP-Header auf 0 gesetzt. Linux verwendet hier aber zum Beispiel 0xC0
als Wert.
• Fragmentation Handling: In vielen TCP-Implementationen werden überlappende IP-
Fragmente unterschiedlich behandelt. Entweder wird das alte Fragment mit dem Neuen
überschrieben oder das alte Fragment bleibt erhalten.
Die verschiedenen Anfragen ausgewertet und zusammengefasst, liefern eine Art Fingerabdruck
eines Betriebssystems. Das funktioniert ganz gut, aber selten mit letztgültiger
Sicherheit.
11.4 Die eigenen Dienste und Verbindungen kennen
Ist man auf einer Maschine Root, muss man nicht mit nmap die verschiedenen Netzwerk-
Interfaces abscannen, um zu wissen, welche Dienste gerade laufen. Hierzu helfen die Programme
netstat und lsof weiter.
netstat ist ein Statistik-Tool, welches die Kernelnetzwerkschnittstellen ausliest. Netstat
mit der Option ”-t” liefert alle bestehenden TCP, mit der Option ”-u” alle UDP-
Verbindungen. Es zeigt jedoch nur zusammen mit der Option ”-a” alle offenen Server-Ports
an. Die letzte Option alleine aufgerufen, zeigt eine vollständige Liste aller Ports und Sockets,
auch die verwendeten Unix-Domain-Sockets im Dateisystem. Die Liste wird üblicherweise
recht lang ausfallen. Möchte man nicht auf die Namensauflösung für bestehende Verbindungen
warten, kann man diese mit ”-n” abschalten.
Die Paketstatistik erfährt man mit netstat -s. Auch diese Ausgabe fällt länger aus:
linux02:~ # netstat -s
Ip:
58239052 total packets received
418723 forwarded
0 incoming packets discarded
53456498 incoming packets delivered
50859142 requests sent out
1 outgoing packets dropped
68 dropped because of missing route
3 fragments dropped after timeout
123341 reassemblies required
82569 packets reassembled ok
1 packet reassembles failed
3 fragments received ok
Icmp:
3537 ICMP messages received
[ ... ]
Anhand dieser Statistiken lassen sich bereits Unregelmäßigkeiten feststellen. Wenn viele
Fehler in bestimmten Kategorien auftreten, könnte beispielsweise ein Scanversuch gelaufen
oder gezielt kaputte Pakete geschickt worden sein.
Netstat kennt eine ganze Reihe weiterer Optionen, um die Ausgaben beispielsweise für
einzelne Interfaces zu verfeinern. Auskunft gibt wie üblich die umfangreiche Man-Page.
Ist das IProute2-Paket installiert, liefert das Kommando ntop ebenfalls eine ausführliche
Übersicht, die sich etwas anders als bei Netstat darstellt:

11.5. SCHNÜFFELN IM DATENVERKEHR 167
linux02:~ # nstat
#kernel
IpInReceives 489769 0.0
IpInDelivers 489663 0.0
IpOutRequests 637864 0.0
IpReasmReqds 10 0.0
IpReasmOKs 1 0.0
IpFragOKs 1 0.0
IcmpInErrors 184367 0.0
IcmpInDestUnreachs 92113 0.0
IcmpInTimeExcds 184618 0.0
IcmpInParmProbs 1 0.0
IcmpInEchoReps 31 0.0
IcmpInTimestamps 7 0.0
IcmpOutErrors 155388 0.0
IcmpOutTimeExcds 145357 0.0
IcmpOutTimestamps 31 0.0
TcpActiveOpens 94469 0.0
TcpPassiveOpens 56 0.0
TcpAttemptFails 95419 0.0
TcpEstabResets 133 0.0
TcpInSegs 245980 0.0
TcpOutSegs 455926 0.0
TcpRetransSegs 92354 0.0
TcpInErrs 1 0.0
TcpOutRsts 1229 0.0
UdpInDatagrams 93009 0.0
UdpNoPorts 60 0.0
UdpOutDatagrams 6521 0.0
Ip6InReceives 6 0.0
Ip6InDelivers 6 0.0
Ip6OutRequests 18 0.0
Ip6OutMcastPkts 12 0.0
[ ... ]
lsof ist ebenfalls ein vielseitiges Analyse-Tool. Normalen Benutzern zeigt es beim Aufruf
Dateien und Verbindungen an, die sie selbst geöffnet oder in Verwendung haben. Dem
Systemadministrator offenbart es sämtliche Verbindungen, offenen Ports und Dateien. lsof
kennt wie die meisten Netzwerkkommandos die Option ”-n” für die Unterdrückung der
Namensauflösung. Dasselbe für Ports erreicht man mit ”-P”. Alle Netzwerkverbindungen
lassen sich mit ”-i” anzeigen, mit ”-i6” schränkt man diese für IPv6 und entsprechend mit
”-i4” für IPv4 ein:
hermes root # lsof -i4
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
dhcpcd 8607 root 4u IPv4 8377 UDP *:bootpc
ssh 24599 dirk 3u IPv4 28337 TCP 10.8.4.220:3934-> \
ns.wg.site:ssh (ESTABLISHED)
ssh 28138 dirk 3u IPv4 32029 TCP 10.8.4.220:1188-> \
ns.wg.site:ssh (ESTABLISHED)
11.5 Schnüffeln im Datenverkehr
In den bisherigen Betrachtungen ging es um die Erreichbarkeit von Maschinen und ihrer
Dienste. Dabei lag der Fokus auf den Endpunkten der Kommunikationsverbindungen. Die

168 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
meisten Netzwerkdienste laufen als Client-Server-Applikation. Dabei können Clients und
Server komplett unterschiedliche Maschinen sein und Betriebssysteme fahren. Damit sich
beide korrekt verständigen, kommt es darauf an, dass sie die ”richtige Sprache” miteinander
reden. Da das verbindende Element das dazwischenliegende TCP/IP-Netzwerk ist, lassen
sich durch die Beobachtung des Paketaustausches schon Rückschlüsse auf bestimmte Fehler
ziehen.
Wenn man sich vielleicht wundert, weshalb die Namensauflösung in Ihrem Netz so lange
dauert, oder was beim Teilumstieg auf IPv6 schief gegangen ist, reicht oft nicht das
Debugging an der Applikation aus. Da hilft dann vielleicht der Blick auf die Netzwerkschnittstellen
und in die Pakete hinein. Hierbei wird auch offenbar, wie einfach es ist, die
Daten mitzulesen, die Applikationen unverschlüsselt austauschen.
11.5.1 Analysen auf der Kommandozeile
Für die Kommandozeile existiert schon sehr lange das Programm tcpdump. Es basiert wie
das im Anschluss vorgestellte grafische Ethereal auf der Libpcap-Bibliothek. Diese stellt
Schnittstellen zur Verfügung, die es erlauben Pakete in ”Rohform” beispielsweise auf einem
Ethernet-Interface abzugreifen und zu interpretieren. Die Netzwerkschnittstelle, an
die sich tcpdump hängen soll, legt man mit der Option ”-i Interface” fest, z.B. tcpdump
-i eth1 für die zweite Ethernet-Karte. Im Augenblick des Starts beginnt tcpdump Pakete
mitzuschreiben und in die Konsole auszugeben. Dabei schreibt es nicht den gesamten Paketinhalt
heraus, sondern reduziert die Information auf wichtige IP-Header-Informationen,
wie Quell- und Zieladressen, sowie Quell- und Zielports. Neben diesen Daten stellt es die
Zeit des Paketempfanges sowie Teile des Inhalts, die es interpretieren konnte, dar. Eine
einfache Ausgabezeile ist somit wie folgt aufgebaut: ”Zeit Protokoll Quelle.Port ¿ Ziel.Port:
Kurzinterpretation des Inhalts” Will man statt der IP-Adressen die Link-Layer-Adressen,
z.B. MACs im Ethernet sehen, geschieht das durch die Angabe der Option ”-e”.
linux02:/tmp # tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:24:06.921126 IP fay1.test.site.netbios-dgm > 10.17.9.255.netbios-dgm:
NBT UDP PACKET(138)
17:24:06.945264 IP linux022.test.site.32838 > dns1.wg.site.domain:
62160+ PTR? 255.9.230.132.in-addr.arpa. (44)
17:24:06.946275 IP dns1.wg.site.domain > linux022.test.site.32838:
62160 NXDomain* 0/1/0 (137)
17:24:06.946396 IP linux022.test.site.32838 > dns0.wg.site.domain:
62161+ PTR? 44.9.230.132.in-addr.arpa. (43)
17:24:06.947295 IP dns0.wg.site.domain > linux022.test.site.32838:
62161* 1/3/3 (212)
17:24:06.947546 IP linux022.test.site.32838 > dns1.wg.site.domain:
62162+ PTR? 201.200.17.10.in-addr.arpa. (46)
17:24:06.948799 IP dns1.wg.site.domain > linux022.test.site.32838:
62162* 1/3/3 (208)
17:24:06.954624 IP linux022.test.site.32838 > dns0.wg.site.domain:
62163+ PTR? 200.200.17.10.in-addr.arpa. (46)
17:24:06.955777 IP dns0.wg.site.domain > linux022.test.site.32838:
62163* 1/3/3 (208)
17:24:07.296782 802.1d config 8000.00:d0:95:7e:ec:3a.7205 root
8000.00:09:97:30:38:0a pathcost 4 age 1 max 20 hello 2 fdelay 15
17:24:07.922224 IP fay1.test.site.netbios-dgm > 10.17.9.255.netbios-dgm:
NBT UDP PACKET(138)
11 packets captured

11.5. SCHNÜFFELN IM DATENVERKEHR 169
11 packets received by filter
0 packets dropped by kernel
Nun ist trotz stark verkürzten Inhalts auch bei geringem Traffic die Konsole sehr schnell
voll. Hier gibts nun einige Möglichkeiten. Die mitgeschnittenen Daten kann tcpdump mit
der Option ”-w Datei” in ein Logfile schreiben. Statt von einer Schnittstelle kann es mit
”-r Datei” Daten zur Analyse aus einer Datei aufbereiten. Wenn alles mitgeschnitten wird,
können später auch wirklich alle Informationen angesehen werden; bei großen Datenmengen
ist jedoch der Plattenplatz irgendwann ein begrenzender Faktor.
Eine sinnvolle Alternative bietet sich durch die Benutzung von Filtern. So schneidet man
nur jene Informationen mit, die Ihnen in der gegebenen Situation (hoffentlich) weiterhelfen
und ignorieren die anderen Daten einfach. Filter können bei tcpdump hinter den Optionen
angegeben werden. Sie werden als Pseudo-Code geladen und bezüglich der eintreffenden
Pakete interpretiert. Filterausdrücke können sich auf die verschiedenen Header beziehen.
Es gibt eine Reihe von Schlüsselworttypen:
• Typ 1 bestimmt den oder die zu identifizierenden Rechner. Hierzu zählen die Schlüsselwörter
host, net und port. Mit ”host 10.8.4.1” wird festgelegt, dass man alle Daten
sehen will, die an diese Maschine gehen oder von dieser kommen. Das geht auch für
ganze Netze in der Form ”net 192.168.200.0/23” oder für bestimmte Ports ”port 25”.
• Typ 2 - Für Typ 1 war die Übertragungsrichtung egal. Soll diese eine Rolle spielen,
stehen die Kürzel src und dst zur Verfügung. Durch ”src host 10.8.4.23” fängt man
nur IP-Pakete von der Adresse 10.8.4.23 ein. Auf den Ausdruck ”dst port 22” passen
alle Pakete an den Standardport von SSH.
• Typ 3 kümmert sich schliesslich um die verschiedenen Protokolle. Er kennt die Ausdrücke
arp, ether, fddi, ip, ip6, rarp, tcp, udp und wlan. Um alle ARP-Pakete auf
dem ersten Ethernet-Interface zu sehen, startet man einfach tcpdump -i eth0 arp.
Nun ist die Welt vielleicht doch noch etwas komplexer. Um feiner abgestimmte Abfragen
zu bauen, lassen sich Filterausdrücke mittels logischem UND (and) sowie logischem
ODER (or) miteinander verknüpfen. Die Negation von Ausdrücken ist ebenfalls
möglich. Mit tcpdump host 10.8.4.254 and 10.8.4.1or10.8.4.2 hält man die Kommunikation
von 10.8.4.254 mit den beiden Maschinen 10.8.4.1,2 fest.tcpdump net 10.8.4.0/24
and \!10.8.4.254 greift alle Pakete des Subnetzes auf, die nicht die Maschine 10.8.4.254
zum Ziel oder als Quelle haben. Weitere Filter, beispielsweise das Matchen auf Paketlängen
oder die Erklärungen zusätzliche Optionen finden sich in der ausführlichen Hilfe zum Programm;
man tcpdump.
11.5.2 Das Ganze in Bunt
So richtig komfortabel ist tcpdump sicherlich nicht. Es hat den entscheidenden Vorteil,
dass es nicht auf eine grafische Umgebung angewiesen ist. Steht diese aber zur Verfügung,
läßt sich das Leben mit ethereal stark erleichtern. Es macht eigentlich ziemlich genau das
gleiche, wie tcpdump. Nur stellt es die Ergebnisse in einem dreiteiligen Benutzerinterface
sehr gut lesbar dar. Im oberen Teil der Applikation sind alle mitgeschnittenen Pakete aufgelistet,
die sich leicht nach fortlaufender Nummer, Quelle, Ziel oder Protokoll umsortieren
lassen. Dazu muss man lediglich auf den Tabellenkopf klicken. Im mittleren Teil ist das oben
markierte Paket nach seinen Schichten aufgegliedert zu sehen. Der oberste Eintrag bezieht
sich auf das gesamte Frame im Rohformat. Anschließend folgt der Ethernet-Header oder

170 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Abbildung 11.1: DNS-Anfrage - man sieht, dass der Client zuerst nach einer IPv6 und dann
nach einer IPv4 Adresse anfragt
andere Layer2-Header. Dann kommt IP, IPv6 oder ein anderes Protokoll der Verbindungsschicht.
Darauf folgend der Transport-Kopf, also meistens der TCP- oder UDP-Header. Zum
Schluss sieht man die Applikationsdaten, die ethereal versucht weitestgehend zu interpretieren.
Im unteren Fensterdrittel stellt ethereal das Paket als Hexdump dar und markiert
den Protokollteil, der in der Mitte markiert wurde.
Die Paketanalyse wird denkbar einfach: Man starte Ethereal und wählen über das Menü
”Capture ¿ Start” aus. Hier trägt man noch das Interface ein, das mitgeschnitten werden
soll und los gehts mit ”OK”. Es erscheint ein neues Fenster ”Capture from ...”. Hat man
genug Pakete eingefangen stoppt man hier das Mitschneiden. Ethereal baut nun eine Liste
der Pakete auf und stellt sie wie oben beschrieben zur weiteren Betrachtung dar. Auch
ethereal erlaubt wie tcpdump das Laden und Speichern von Mitschnitten. Das geht ganz
einfach über das File-Menü.
Auch hier hat man vielleicht irgendwann soviele Daten mitgeschnitten, dass man mit
einfachem Umsortieren nicht mehr weiterkommt. Es lassen sich dazu Filter angeben, die
man entweder direkt in das Eingabefeld unterhalb der Menüzeile einfüttert oder den Assistenten
”Expression” neben dem Feld erstellen läßt. Letzterer erlaubt einem sehr einfach
Filter zu bauen. Dabei kann man dann fast nichts mehr falsch machen. Das Filtern auf eine
MAC-Quelladresse sieht dann beispielsweise so aus: ”eth.src == 00:10:A4:8D:56:0A”. Will
man auf IP Pakete filtern, die keine TCP-Payload haben, erreicht man das mit: ”ip.proto
!= 6”. Will man alle DNS-Antworten sehen, gebe man als Filter: ”dns.flags.response ==
1” an. Grenzen gibt es praktisch keine. Wenn ein Filter nichts matcht, sind nach dem
Druck auf den Button ”Apply” die unteren Fensterteile leer. Andernfalls finden sich dort
alle Pakete auf den der Filter passte. Sagte einem der Filter nicht zu, löscht man ihn mit
”Clear” und schon sieht man wieder den ursprünglichen Mitschnitt. Um wirklich zu realisieren,
wie einfach ein Netzwerkmitschnitt und dessen Analyse ist, starte man auf einer
Maschine eigener Wahl den Telnet-Dienst. Der muss vielleicht erst noch nachinstalliert und
dann aktiviert. Keine aktuelle Distribution bindet ihn standardmäßig mehr ein - Telnet ist

11.6. SAMMELN IM HINTERGRUND - TRAFMOND 171
Abbildung 11.2: TCP-Sessions lassen sich einfach verfolgen, dafür muss nur ein Paket der
interessierenden Verbindung markiert werden
der sicherheitsmäßige Sündenfall schlechthin. Wem das Beispiel sinnlos erscheint, schneide
einfach mal die Anmelde-Prozedur an einen GMX-Account per Webinterface mit. Die
Datenmenge ist höher, da ja die ganzen Banner noch geladen werden müssen, aber das
Passwort ist dann leicht zu finden.
Man klicke einfach auf ein Paket welches zur Sitzung gehört und gehe anschliessend
in das Menü ”Analyze - Follow TCP Stream”. Man sieht einen Mitschnitt in dem die
Senderichtung in roter und die Empfangsrichtung in blauer Schrift dargestellt ist. In Frage
kommen alle Protokolle, die Passwörter unverschlüsselt austauschen. Dass auch noch der
Inhalt der Sitzung so einfach nachvollzogen werden kann, ist eine andere Sache - die Dienste
auf dem Weg werden es einem danken. Damit sind die Möglichkeiten von Ethereal längst
nicht erschöpft. Der Admin kann sich über das gleichnamige Menü diverse Statistiken zu den
eingefangenen Daten generieren lassen, die verschiedenen Kommunikationen zur besseren
Identifikation bunt einfärben und vieles andere mehr.
11.6 Sammeln im Hintergrund - trafmond
Während sich beispielsweie icmpmon lediglich mit dem gleichnamigen Protokoll beschäftigte,
beobachtet der trafmond den Netzwerkverkehr (dauerhaft) im Hintergrund. Bei
einigen Distributionen ist Trafmon schon mit einem Runlevel-Skript vertreten und kann
gleich beim Start eines Rechners mit hochgefahren werden.
Der im Hintergrund laufende trafmond sammelt still und leise seine Daten und hinterlegt
sie in einer Binärdatei /var/log/trafmon platzsparend ab. Diese Datei läßt sich mit
dem Kommandozeilenwerkzeug trafmon auswerten. Die Zahl der ”v” bestimmt wiederum
die Menge der Ausgaben:
hermes:~ # trafmon -vv

172 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Abbildung 11.3: Die Analyse des Datenstroms offenbahrt Passwort und Sitzungsdaten
20040423 10:21:31/00h00m04s 10.8.4.220:4303 -> login2.uni-goettingen.de:ssh
1518 63K
20040423 10:22:40/00h00m48s 10.8.4.220:4304 -> login2.uni-goettingen.de:ssh
2638 1680K
20040423 12:03:58/00h00m02s 10.8.4.220:gsi ->
stud9.stud.uni-goettingen.de:http 5 952
20040423 12:04:19/00h00m00s 10.8.4.220:jdl-dbkitchen ->
www.Goettingen.DE:http 5 954
20040423 12:05:06/00h01m02s 10.8.4.220:2182 -> rz.uni-freiburg.de:smtp
0 69
20040423 12:37:37/00h00m04s 10.8.4.220:iiw-port ->
mail.uni-math.gwdg.de:cvspserver 897 2350
Trafmon ist dafür da dauerhaft bei geringem Footprint im System zu laufen und nicht nur
für Einzelanalysen ad-hoc gestartet zu werden. Die Menge der gesammelten Informationen
ist kleiner, als bei den zuvor beschriebenen (Mammut-)Werkzeugen tcpdump oder
ethereal.
11.7 Wegeanalysen in IP-Netzwerken
Das Internet Protokoll wurde dafür geschaffen, über verschiedenste reale und virtuelle Netzwerke
Verbindungen herzustellen. Dabei spielt es für IP keine Rolle, ob die Daten über
schnelle Glasfaserleitungen auf dem Grund eines Ozeans laufen, per GPRS oder WLAN
durch die Luft vermittelt werden oder auf unterschiedlichsten Arten von Kupferkabeln zu
ihren Endpunkten oder Vermittlungsstellen zu gelangen. Für den Benutzer hat es den Vorteil,
dass er eine Webseite aus den Staaten über das gleiche Netzwerkprotokoll erhält, wie

11.7. WEGEANALYSEN IN IP-NETZWERKEN 173
seine Email von seinem Provider um die Ecke. Jedoch hängt das Verhalten einer Netzwerkapplikation
stark davon ab, wie schnell und mit welchen Bandbreiten die Daten über
eine gewisse Teilstrecke gelangen.
Geht man per GPRS ins Netz spielt es keine Rolle, ob der angesprochene Webserver per
Gigabit-Glasfaser an den Rest der Welt angeschlossen ist. Stattdessen kann man sich auf
niedrige Bandbreiten bei hohen Verzögerungen einstellen. So kann es Ihnen auch umgekehrt
passieren, dass man hinter einem schwach ausgelasteten DSL-Anschluss sitzt aber die FTP-
Sitzung trotzdem nicht in Schwung kommt.
Um festzustellen, was auf der Strecke so passiert, welche Verzögerungen und Paketverluste
auftreten, stehen Ihnen eine Reihe von Programmen zur Verfügung. Dieser Artikel
gibt einen Überblick darüber, wie sie als interessierter Linux-Nutzer oder Administrator
sich Informationen zu ihrer näheren und weiteren Netzwerkumgebung verschaffen.
11.7.1 Routenverfolgung
Ein klassisches Kommandozeilen-Tool, welches eigentlich immer zur Grundausstattung einer
Maschine gehört ist traceroute. Dieses Programm ist dem Kommando ping eng verwandt,
da es ähnliche Informationen sammelt und ICMP benutzt. Es benötigt keine Root-
Rechte zur Ausührung, liegt aber für Normalbenutzer meistens nicht im Suchpfad der Shell
(/usr/sbin). traceroute zeichnet den Weg eines Paketes entlang seiner Route zum Ziel
auf und stellt die Ergebnisse in einer Liste dar. Hierfür setzt traceroute lediglich ein funktionierendes
UDP-Modul am Ziel voraus - eine besondere Applikation auf der Gegenseite
benötigt es nicht. Wichtig ist jedoch, dass ICMP am Ziel nicht durch eine Firewall blockiert
wird.
traceroute nutzt für das Ermitteln der Route das TTL-Feld des IP-Headers. Der Absender
initialisiert das TTL-Feld mit ”1” und schickt das erste Paket ab. Passiert ein IP-Paket
einen Router, zählt dieser das TTL-Feld um eines herunter. Erreicht das Feld den Wert
Null, verwirft der Router das Paket und schickt eine TTL-Exceeded an den Absender. So
erfährt traceroute vom ersten Router. Anschliessend erhöht es das Feld um eins und schickt
das nächste Paket. Die Aktion wird solange wiederholt, bis das Ziel erreicht ist.
s02:~ # traceroute www.spiegel.de
traceroute to www.spiegel.de (195.71.11.67), 30 hops max, 40 byte packets
1 10.1.1.11 4.753 ms 5.273 ms 6.134 ms
2 132.230.120.142 4.799 ms 6.439 ms 6.149 ms
3 nsc-rz-gwn.fun.uni-freiburg.de (132.230.0.141)
8.592 ms 5.977 ms 5.611 ms
4 Freiburg1.belwue.de (129.143.15.141) 6.563 ms 12.260 ms 15.243 ms
5 Stuttgart1.belwue.de (129.143.1.7) 16.740 ms 20.804 ms 15.209 ms
6 Frankfurt1.belwue.de (129.143.1.26) 22.202 ms 23.175 ms 24.137 ms
7 129.143.200.42 23.237 ms 26.502 ms 25.844 ms
8 rmws-frnk-de07-gigaet-0-0.nw.mediaways.net (213.20.255.4)
30.913 ms 30.517 ms 30.180 ms
9 rmwc-frnk-de01-pos-1-2.nw.mediaways.net (213.20.249.201)
30.205 ms 29.389 ms 30.864 ms
10 rmwc-gtso-de01-pos-1-0.nw.mediaways.net (195.71.254.121)
27.959 ms 31.603 ms 23.201 ms
11 217.188.58.204 24.364 ms 24.707 ms 23.578 ms
12 195.71.11.67 22.980 ms 23.742 ms 23.209 ms
Traceroute ohne die Option ”-n” aufgerufen versucht jede IP-Adresse in einen Hostnamen
aufzulösen. Sie steht dann in Klammern hinter dem Namen. Gelingt keine Auflösung gibt
es nur die IP an. Traceroute nummeriert die einzelnen Zwischenstationen durch und gibt

174 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
hinter jeder drei Paketlaufzeiten an. Diese können deshalb variieren. Kam ein Paket abhanden,
druckt traceroute ein Stern ”*”. Antwortet ein Router gar nicht, druckt es drei Sterne
und springt zum nächsten. Befindet sich das Ziel irgendwo in einem geschützten Netz, sind
die Aussagen zu den letzten Hops mit Vorsicht zu geniessen. Gibt es ein ”N!” aus, dann
tauchte der Router zum erneuten Mal in der Liste auf. Das kann auf ein Routingproblem
oder eine Firewall hinweisen. Eigentlich sollten die Paketlaufzeiten von Hop zu Hop ansteigen.
Da aber Router viel beschäftigte Systeme sind und für die eigene Paketeverarbeitung
länger brauchen können als für das Durchleiten kommen bei sehr schnellen Netzen Zeiten
zustande, die nicht in einer aufsteigenden Reihenfolge liegen müssen. Eine komfortable
Abbildung 11.4: Hier sieht man ganz deutlich, wie beim dritten Router sehr viele Pakete
verloren gehen
Erweiterung von traceroute ist mtr (My traceroute). Es gehört meistens nicht zum Standardinstallation,
so dass man es bei Bedarf nachinstallien muss. Dieses Programm schickt
nicht nur drei Pakete in Folge an eine Zwischenstation, sondern wiederholt diesen Vorgang
bis es abgebrochen wird. Die Tabelle zeigt in der Grundeinstellung in der ersten Spalte den
Host, in der zweiten den Paketverlust für jede Zwischenstation und daneben die Zahl der
gesendeten Pakete. Für diese einzelnen Pings wird der letzte Wert, der Durchschnitt, die
beste und die schlechteste Zeit aufgeführt. Man kann durch wiederholtes Drücken von ”d”
den Anzeigemodus interaktiv ändern. Mit ”o” wählt man weitere Werte zur Darstellung in
der Tabelle aus.
s02 (0.0.0.0)(tos=0x0 psize=64 bitpattern=Tue Sep 29 16:02:26 2005
Keys: Help Display mode Restart statistics Order of fields quit
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. 132.230.9.254 0.0% 16 0.6 0.7 0.5 1.5 0.2
2. nsc-rz-gwn.fun.uni-fre 0.0% 16 3.2 1.5 0.3 4.1 1.2
3. Freiburg1.belwue.de 0.0% 15 1.1 2.0 0.4 6.4 1.9
4. Stuttgart1.belwue.de 0.0% 15 5.2 6.4 4.6 12.1 2.3
5. Stuttgart2.belwue.de 0.0% 15 5.1 8.6 4.6 21.2 4.8
6. ar-stuttgart4-ge3-2.g- 0.0% 15 5.1 12.1 4.4 26.6 8.7
7. cr-stuttgart1-ge5-0.g- 0.0% 15 4.7 11.8 4.6 44.8 11.6
8. cr-frankfurt1-po3-0.g- 0.0% 15 26.2 14.6 7.7 47.7 12.0
9. cr-hannover1-po3-1.g-w 0.0% 15 13.7 13.8 13.0 15.8 0.7
10. ar-goettingen1-po0-0.g 0.0% 15 16.6 15.7 14.7 17.5 0.8
11. 188.1.46.202 0.0% 15 15.6 16.2 14.9 23.8 2.2
12. stud9.stud.uni-goettin 0.0% 15 16.0 15.7 15.1 16.7 0.5

11.8. STATISTIKEN 175
Von mtr gibts auch eine grafische Ausgabe. Diese muss jedoch oft separat installieren
werden. Gestartet wird das Programm dann durch die Eingabe von xmtr.
11.8 Statistiken
Es gibt eine Reihe von Informationen, die sich mit Ethereal zwar beschaffen lassen, wo die
Darstellung jedoch nicht optimal ist. Geht es um den generellen Real-Time-Überblick, ist
für einige Fragestellungen der Paket- und Port-Statistiksammler iptraf eine gute Wahl.
Dieses Programm recht mächtig. Es gibt auch kleinere Geschwister, die nicht ganz so viel
Funktionsumfang mitbringen: trafshow und netwatch.
11.8.1 iptraf
Das Programm ist ncurses-basiert, also in einer normalen Shell lokal oder remote benutzbar.
Eine grafische Oberfläche ist dafür nicht erforderlich. Das Tool gehört üblicherweise
nicht zum Standardinstallationsumfang, so dass ein Admin es meist erst installieren muss.
Beim Start des Programms erscheint eine kurze Begrüssungsmeldung, weiter gehts zum
Abbildung 11.5: Das Hauptmenü von iptraf
Hauptmenu mit einer beliebigen Taste. Dort lässt sich zwischen den folgenden Funktionen
auswählen:
• Der ”IP traffic monitor” verfügt über ein zweigeteiltes Interface. Im oberen zeigt IP-
Traf bestehenden TCP-Verbindungen mit ihren Endpunkten und deren Status an. Im
unteren Drittel läuft der Non-TCP-Traffic, also in erster Linie UDP, ICMP und ARP
durch. Unter dem Menupunkt ”General interface statistics” listet IPTraf für jedes
Interface die Zahl der ein- und ausgegangenen (Non-)IP-Pakete und die Datenrate
für jedes Interface auf.
• ”Detailed interface statistics” liefert Informationen zu einem vor ausgewählten Interface.
Es zählt ein und ausgehende Pakete und Bytes. Zusätzlich listet es die Datenraten
für ankommende und abgehende Datenströme und die Gesamtrate auf. Dieses Interface
zeigt beispielsweise sehr gut, ob und wie eine DSL-Leitung ausgelastet ist. Hier
ist die Unterscheidung zwischen ankommenden und abgehenden Paketen besonders
interessant, da der Upstream deutlich kleiner als der Downstream ist. So kann man
beispielsweise feststellen, ob der Download wegen verstopften Upload-Kanals mager

176 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Abbildung 11.6: Das IP Traffic Monitor mit dem zweigeteilten Interface
ausfällt. Zur Optimierung von Traffic-Shaping bietet sich ebenfalls der Blick in dieses
Interface an.
• Die ”Statistical breakdowns...” bieten Informationen, die sich mit anderen Tools eher
schlecht beschaffen lassen. Die Zusammenfassungen nach der Paketgröße zeigt, in
75 Byte Schritten, in welche Kategorie übertragene Pakete fallen. Viele recht kleine
Pakete lassen auf andere Applikationen schliessen als viele große. Ersteres deutet auf
die Nutzung von Voice-over-IP hin, letzteres eher auf große Downloads via HTTP oder
FTP. Ebenso sind Überblicksstatistiken für TCP und UDP abfragbar: Nach Protokoll
und Port sortiert baut IPTraf Listen auf und schlüsselt dabei wieder ankommendem
und abgehendem Datenverkehr auf.
• Der ”LAN station monitor” beobachtet Ereignisse auf dem Layer unterhalb der IP-
Ebene 2 . Hier zählt IPTraf Pakete anhand ihrer MAC-Adresse und schlüsselt die Ergebnisse
nach ankommenden und abgehenden IP- und generellen Paketen und Bytes
auf.
• Im Konfigurationsmenu lassen sich eine ganze Reihe Parameter einstellen, wie die
umgekehrte DNS-Auflösung, Farben, Timer, Port-Ranges und etliches mehr.
11.8.2 TrafShow und NetWatch
Mit etwas weniger Funktionsvielfalt wartet trafshow auf. Es zeigt nach dem Start im Konsolenfenster
bestehende IP-Verbindungen und die Zahl der darin gesendeten Pakete an.
Am unteren Fensterrand stellt es eine Statistik aus der insgesamt seit Start übertragenen
Paketmenge, der Zahl der Pakete pro Sekunde und der Zahl der Bytes pro Sekunde auf.
Das Programm kann über Kommandozeilenoptionen gesteuert werden: So verhindert
das vielfach bekannte ”-n” eine Auflösung in Rechnernamen und die Darstellung der Quell-
2 Dieses kann der Data Link Layer bei Ethernet-Verbindungen sein aber auch PPP bei PPPoE-
Verbindungen

11.8. STATISTIKEN 177
und Zieladressen erfolgt als numerische IP-Adresse. Als letztes Argument kann beim Aufruf
optional ein Ausdruck angegeben werden, der zum Filtern auf bestimmte Pakettypen analog
zu tcpdump funktioniert. Gestartet mit der Option ”-e” gibt trafshow den Ethernet-
Verkehr aus. Mit trafshow -i wlan0 legt der Administrator fest, dass das Programm die
Schnittstelle wlan0 überwachen soll. Weitere Informationen enthält die Manpage.
Ebenfalls in die Sparte der ncurses-basierten Programme fällt netwatch. Anders als
iptraf oder trafshow wählt NetWatch eine andere Bildschirmaufteilung. Links werden die
Verbindungen im LAN und rechts die entfernten aufgelistet. Mit den Links- und Rechts-
Cursortasten kann die Art der Anzeige verändert werden: Zählen der ein und ausgehenden
Pakete, empfangene und gesendete Bytes oder Art der Verbindung. Mit der Option ”-e eth1”
legt man fest, dass NetWatch auf dem zweiten Ethernet-Interface lauscht, ”-n” unterdrückt
die Auflösung von IP-Adressen in DNS-Namen.
Zur Unterscheidung von LAN- und entferntem Datenverkehr kann mit ”-i IP” eine
bestimmte lokale IP und mit ”-m Netmask” eine lokale Netzmaske für die geeignete Auswahl
des Traffics festgelegt werden: netwatch -i 10.1.2.3 -m 255.192.0.0 sieht alle Pakete
im Netz von 10.0.0.0 bis 10.63.255.255 als lokal und alle anderen als remote an.
11.8.3 Analysen webbasiert - ntop
Mit ntop gibt es ein weiteres Werkzeug, um Netzwerkschnittstellen bis ins Detail zu
überwachen und den Datenverkehr auszuwerten. Es ist bei den meisten Distributionen als
Paket verfügbar, muss aber wie viele der anderen hier vorgestellten Tools extra installiert
werden.
s02:~ # ntop -A -u wwwrun
Tue Apr 12 22:46:30 2005 Initializing gdbm databases
Please enter the password for the admin user:
Tue Apr 12 22:46:59 2005 Admin user password has been set
s02:~ # ntop
Tue Apr 19 10:21:04 2005 Initializing gdbm databases
Tue Apr 19 10:21:04 2005 ntop will be started as user nobody
Tue Apr 19 10:21:04 2005 ntop v.3.0.053 MT (SSL)
Tue Apr 19 10:21:04 2005 Configured on Dec 11 2004 20:05:20, built on \
Dec 11 2004 20:07:17.
Tue Apr 19 10:21:04 2005 Copyright 1998-2004 by Luca Deri
Tue Apr 19 10:21:04 2005 Get the freshest ntop from http://www.ntop.org/
Tue Apr 19 10:21:04 2005 Initializing ntop
Tue Apr 19 10:21:04 2005 No default device configured. Using eth0
Tue Apr 19 10:21:04 2005 Checking eth0 for additional devices
Tue Apr 19 10:21:04 2005 Resetting traffic statistics for device eth0
Tue Apr 19 10:21:04 2005 DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Tue Apr 19 10:21:04 2005 Initializing gdbm databases
Tue Apr 19 10:21:05 2005 VENDOR: Loading MAC address table.
[ ... ]
Einmal das Passwort festgelegt und anschliessend gestartet, stellt ntop über Port 3000 als
Web-Service etliche statistische Daten zur Verfügung. Als Grundlage beobachtet das Programm
den Datenverkehr und wertet ihn für die Statistik aus. Der Zugriff auf das Interface
steht ersteinmal offen, da NTop defaultmäßig auf allen Interfaces startet. Nur bestimmte
Bereiche, wie das Filtern, Abschalten oder der Statistik-Reset sind dem ”admin” vorbehalten,
dessen Passwort man eingangs gesetzt hat. Das Programm braucht zum Betrieb
einiges an Speicher, sehr knapp dimensionierte Systeme können hier Probleme bekommen.

178 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Das Verhalten und die Fähigkeiten von ntop kann man über die Kommandozeile beim
Aufruf des Daemons steuern. Hierzu gibt die ausführliche Manpage Auskunft.
Die Informationen, die ntop sammelt unterscheiden sich nicht stark von den bereits vorgestellten
Programmen. Es geht wieder um bestehende Verbindungen, generierten ausgehenden
und ankommenden Traffic, Rechner mit ihren Hostnamen, IP- und MAC-Adressen.
Einzelne Aspekte, wie die Aufschlüsselung der Pakete nach der Größe der TTL im Bereich
”Traffic” kennt man vielleicht noch nicht. Der wesentliche Vorteil liegt in der vom
Linux-Router völlig unabhängigen Darstellung auf jedem Webbrowser. So ist eine grafische
Aufbereitung der Information auch ohne X11 problemlos möglich.
11.8.4 Top fürs Netzwerk
Das Programm iftop orientiert sich an dem für Prozesse bekannten top. Es arbeitet in
der Konsole und besitzt einen zweigeteilten Aufbau: Im oberen Bildteil listet iftop die
bestehenden Netzwerkverbindungen und deren über kurze Zeit gemittelten ankommenden
und abgehenden Datenverkehr auf. Am oberen Bildrand stellt das Netzwerk-Top ein Skala
Abbildung 11.7: Top für die Netzwerkauslastung, Anzeige durch die Länge der schwarzen
Balken
mit Kilobit-Aufteilung dar. Diese dient dazu für jede Verbindung durch schwarze Balken, die
von links aus wachsen, den aktuellen Traffic symbolisch darzustellen. Im unteren Fensterteil
gibt IfTop eine Zusammenfassung über alle bestehenden Verbindungen an.
11.8.5 MRTG
Das Programm Multi Router Traffic Grapher (MRTG) dient zur Überwachung der Auslastung
von Netzwerkinterfaces. MRTG setzt ein Perl-Skript ein, mittels Simple Network
Management Protocol (SNMP) den Durchsatz einzelner Netzwerkschnittstellen zu ermitteln.
Es erzeugt mit einem kleinen C-Programm HTML-Seiten, welche die Auslastungsgrafen
der überwachten Interfaces im PNG-Format zusammenfassen. Die Grafen bleiben nicht
statisch, sondern werden bei jedem Durchlauf von MRTG fortlaufend erzeugt.

11.8. STATISTIKEN 179
Für längerfristige Analysen erzeugt MRTG Grafen, die den Datenduchsatz der letzten
Woche, des letzten Monats und des letzten Jahres wiedergeben. MRTG schreibt hierfür
eine spezielle Log-Datei, welches es sukzessive konsolidiert. Damit wächst die Datei nicht
unaufhörlich und trotzdem sind alle erforderlichen Daten enthalten, um auch langzeit Statistiken
erstellen zu können. Die Einrichtung von MRTG erfordert etwas Überlegung und
Abbildung 11.8: Langzeitdaten sammeln mit MRTG
höheren Aufwand als für die meisten bisher gezeigten Tools. Als erstes muss man eine
Konfigurationsdatei erstellen. In dieser Datei sind nicht nur die Pfade zur Datenablage
enthalten, sondern auch das grundsätzliche Layout der später generierten Webseiten. Hier
besteht die Chance einige Anpassungen vorzunehmen. Die Datensammelei geschieht durch
SNMP - deshalb muss MRTG wissen, wie es an die Daten herankommt. Man kann damit
jeden beliebigen Router oder Switch überwachen, die SNMP sprechen. Hierzu gibt man die
Interfaces an, für die MRTG Statistiken schreiben soll und den SNMP-Community-String
für das jeweilige Gerät. Die Geräte lassen sich über ihre IP oder den Rechnernamen ansprechen.
Eine recht einfache Konfiguration erzeugt das mitgelieferte Tool cfgmaker durch
den folgenden Aufruf:
cfgmaker --interfaces eth0 ppp0 public@localhost > /etc/mrtg.conf

180 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
Anschliessend sollte man noch einen Blick in die Konfiguration werfen und mindestens
den Pfad für die Ablage der Webseiten anpassen. Zugreifen kann man auf der Maschine
selbst natürlich an einem Webserver vorbei, in dem man einfach das Verzeichnis und die
HTML-Dateien im Browser direkt aufruft. Sollen die Statistiken auch remote zugänglich
sein, kommt der Admin am Betrieb eines Webservers nicht vorbei. MRTG stellt anders als
ntop kein eigenes Webinterface zur Verfügung. Es muss dafür auch nicht permanent laufen.
Für den Einsatz von MRTG muss der SNMP-Service auf Ihrer Maschine gestartet sein,
sowohl für den Konfigurationsvorgang als auch den späteren regelmäßigen Lauf von MRTG
selbst. Zum Testen kann man mrtg auf der Kommandozeile aufrufen. Als Argument nimmt
es die zu verwendende Konfigurationsdatei.
hermes:~ # env LANG=C mrtg /etc/mrtg.conf
Da das Tool mit UTF8 nicht klarkommt, sollte die Language-Environment-Variable beim
Start entsprechend modifiziert sein. Ging alles glatt, kann ein Admin mrtg per Cron
regelmäßig, beispielsweise alle fünf Minuten, Daten sammeln schicken. Ist die Zahl der
überwachten Interfaces sehr hoch, sind längere Intervalle sicherlich sinnvoll.
11.8.6 Bandbreiten messen
Die eine Seite ist die Beobachtung der Auslasung von Netzwerkstrecken und Interfaces.
Man kann natürlich auch aktiv an die Sache herangehen und schauen, was eine gegebene
Strecke potenziell leisten kann.
Die Programme iftop oder iptraf konnten Aussagen zur gerade realisierten Bandbreite
auf einem bestimmten Interface machen. Nun ist es aber vielleicht etwas lästig erst einen
FTP-Server zu installieren oder scp dazu zu verwenden, um die Bandbreite einer Verbindung
zu messen. In diese Nische springt das Werkzeug bing. Die Namensabwandlung von ping
leugnet die Verwandschaft nicht. Wärend ping sich um die Erreichbarkeit kümmert und
Paketlaufzeiten mißt, ist bing für die Ermittlung der realisierbaren Bandbreite eines Links
zuständig. Bing nutzt dazu zwei verschiedene Paketgrößen, um ein etwas realitätsnäheres
Ergebnis zu bekommen.
s02:~ # bing -e 8 -S 1450 -s 100 10.8.3.254 10.8.3.220
BING 10.8.3.254 (10.8.3.254) and 10.8.3.220 (10.8.3.220)
100 and 1450 data bytes
21600 bits in 0.320ms: 67500000bps, 0.000015ms per bit
21600 bits in 0.358ms: 54271357bps, 0.000018ms per bit
21600 bits in 0.399ms: 53992084bps, 0.000019ms per bit
21600 bits in 0.419ms: 50811736bps, 0.000019ms per bit
21600 bits in 0.436ms: 49541284bps, 0.000020ms per bit
--- 10.8.3.254 statistics --bytes
out in dup loss rtt (ms): min avg max
100 8 8 0% 0.069 0.114 0.389
1450 8 8 0% 0.050 0.054 0.075
--- 10.8.3.220 statistics --bytes
out in dup loss rtt (ms): min avg max
100 8 8 0% 0.293 0.460 0.617
1450 8 8 0% 0.729 0.764 0.819
--- estimated link characteristics --warning:
rtt big host1 0.050ms < rtt small host2 0.069ms
estimated throughput 49601284bps

11.9. AUFGABEN 181
minimum delay per packet 0.193ms (9504 bits)
average statistics (experimental) :
packet loss: small 0%, big 0%, total 0%
warning: rtt big host1 0.054ms < rtt small host2 0.114ms
average throughput 71052632bps
average delay per packet 0.312ms (14517 bits)
weighted average throughput 71043532bps
resetting after 8 samples.
Im Beispiel sorgte die Option ”-s 8” dazu, dass acht Testläufe durchgezogen wurden. Mit
”-s 100” setzt man die kleinen Testpakete auf 100 Byte fest, mit ”-S 1450” die großen auf
1450 Byte. Im Beispiel errechnete bing für eine 100 Mbit-Verbindung ohne starke Belastung
zwischen einer 2 GHz P4 und einer 600 MHz PIII Maschine eine Bandbreite von geschätzten
70 Mbit.Mehrere Aufrufe erbringen durchaus verschiedene Ergebnisse. Dabei muss die Maschine
auf der bing gestartet wird nicht einer der beiden Testendpunkte sein. Für eine
802.11b WLAN-Strecke wurden im Beispiel 3,7 Mbit gemessen. Somit stimmen zumindest
die Größenordnungen überein. Bing ist von einer ganzen Reihe von Faktoren abhängig. Die
Hardware des Rechners und der Ethernetkarte spielen ebenso wie Treibergüte und Maschinenbelastung
ins Ergebnis hinein.
11.9 Aufgaben
11.9.1 Erreichbarkeit
1. Man organisiere sich die IP vom Nachbarn und versuche diesen per Ping zu erreichen.
Wie erfährt man seine eigene Default-Gateway-Adresse?
2. Wie kann man die Erreichbarkeit von Maschinen im Netz überpürfen?
3. Welche Möglichkeiten hat man, wenn ICMP von Firewalls blockiert wird?
4. Welche Rolle spielt ICMP bei der Benutzung von traceroute, ping, nmap? Was
wird dabei ausgenutzt?
5. Wozu dient das IP-Header-Feld TTL? Welcher Unterschied besteht beim Anpingen
des eigenen Default-Gateways und einer Adresse wie www.google.de oder goe.net?
6. Welche Informationen lassen sich mittels nmap über eine Maschine beschaffen?
7. Wie funktioniert der FTP-Bounce-Scan? Wann wendet man diesen an?
8. Warum gelingt es nmap (und mit welcher Option?) mit einer guten Trefferquote herauszubekommen,
welches Betriebssystem auf einer bestimmten Maschine oder einem
Netzwerkgerät läuft?
9. Woran kann man alles erkennen, dass eine Maschine hinter einer NAT-Firewall sitzt?
Wie kann man herausbekommen, wieviele aktive Rechner sich hinter einer NAT-
Firewall angeschlossen sind?

182 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE
11.9.2 Paketanalyse
1. Man starte das Kommandozeilenprogamm tcpdump. Wie kann man die Analyse auf
ein bestimmtes Interface, eine bestimmte Quell-IP oder einen festgelegten Ziel-Port
beschränken?
2. Für die grafische Oberfläche, deutlich bunter und leichter zu bedienen ist das Programm
ethereal. Man finde heraus, von welchem Typ die ICMP-Meldungen sind, die
durch ping generiert werden!
3. Wie kann man beispielsweise den gesamten ARP-Verkehr aus der Analyse im Ethereal
herausfiltern?
11.9.3 Datenverkehr zählen
1. Welche ganz einfachen Möglichkeiten hat man, um festzustellen, wieviel Datenverkehr
von einer Maschine ins Netz geschickt oder empfangen wurde?
2. Wie würde man eine detaillierte Statistik auf einer Linux-Maschine erhalten, die NAT-
Router für zehn weitere Maschinen spielt?