Netzwerkanalyse und Fehlersuche

Weitere Magazine

Empfehlungen

Info

168 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE meisten Netzwerkdienste laufen als Client-Server-Applikation. Dabei können Clients und Server komplett unterschiedliche Maschinen sein und Betriebssysteme fahren. Damit sich beide korrekt verständigen, kommt es darauf an, dass sie die ”richtige Sprache” miteinander reden. Da das verbindende Element das dazwischenliegende TCP/IP-Netzwerk ist, lassen sich durch die Beobachtung des Paketaustausches schon Rückschlüsse auf bestimmte Fehler ziehen. Wenn man sich vielleicht wundert, weshalb die Namensauflösung in Ihrem Netz so lange dauert, oder was beim Teilumstieg auf IPv6 schief gegangen ist, reicht oft nicht das Debugging an der Applikation aus. Da hilft dann vielleicht der Blick auf die Netzwerkschnittstellen und in die Pakete hinein. Hierbei wird auch offenbar, wie einfach es ist, die Daten mitzulesen, die Applikationen unverschlüsselt austauschen. 11.5.1 Analysen auf der Kommandozeile Für die Kommandozeile existiert schon sehr lange das Programm tcpdump. Es basiert wie das im Anschluss vorgestellte grafische Ethereal auf der Libpcap-Bibliothek. Diese stellt Schnittstellen zur Verfügung, die es erlauben Pakete in ”Rohform” beispielsweise auf einem Ethernet-Interface abzugreifen und zu interpretieren. Die Netzwerkschnittstelle, an die sich tcpdump hängen soll, legt man mit der Option ”-i Interface” fest, z.B. tcpdump -i eth1 für die zweite Ethernet-Karte. Im Augenblick des Starts beginnt tcpdump Pakete mitzuschreiben und in die Konsole auszugeben. Dabei schreibt es nicht den gesamten Paketinhalt heraus, sondern reduziert die Information auf wichtige IP-Header-Informationen, wie Quell- und Zieladressen, sowie Quell- und Zielports. Neben diesen Daten stellt es die Zeit des Paketempfanges sowie Teile des Inhalts, die es interpretieren konnte, dar. Eine einfache Ausgabezeile ist somit wie folgt aufgebaut: ”Zeit Protokoll Quelle.Port ¿ Ziel.Port: Kurzinterpretation des Inhalts” Will man statt der IP-Adressen die Link-Layer-Adressen, z.B. MACs im Ethernet sehen, geschieht das durch die Angabe der Option ”-e”. linux02:/tmp # tcpdump -i eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 17:24:06.921126 IP fay1.test.site.netbios-dgm > 10.17.9.255.netbios-dgm: NBT UDP PACKET(138) 17:24:06.945264 IP linux022.test.site.32838 > dns1.wg.site.domain: 62160+ PTR? 255.9.230.132.in-addr.arpa. (44) 17:24:06.946275 IP dns1.wg.site.domain > linux022.test.site.32838: 62160 NXDomain* 0/1/0 (137) 17:24:06.946396 IP linux022.test.site.32838 > dns0.wg.site.domain: 62161+ PTR? 44.9.230.132.in-addr.arpa. (43) 17:24:06.947295 IP dns0.wg.site.domain > linux022.test.site.32838: 62161* 1/3/3 (212) 17:24:06.947546 IP linux022.test.site.32838 > dns1.wg.site.domain: 62162+ PTR? 201.200.17.10.in-addr.arpa. (46) 17:24:06.948799 IP dns1.wg.site.domain > linux022.test.site.32838: 62162* 1/3/3 (208) 17:24:06.954624 IP linux022.test.site.32838 > dns0.wg.site.domain: 62163+ PTR? 200.200.17.10.in-addr.arpa. (46) 17:24:06.955777 IP dns0.wg.site.domain > linux022.test.site.32838: 62163* 1/3/3 (208) 17:24:07.296782 802.1d config 8000.00:d0:95:7e:ec:3a.7205 root 8000.00:09:97:30:38:0a pathcost 4 age 1 max 20 hello 2 fdelay 15 17:24:07.922224 IP fay1.test.site.netbios-dgm > 10.17.9.255.netbios-dgm: NBT UDP PACKET(138) 11 packets captured
11.5. SCHNÜFFELN IM DATENVERKEHR 169 11 packets received by filter 0 packets dropped by kernel Nun ist trotz stark verkürzten Inhalts auch bei geringem Traffic die Konsole sehr schnell voll. Hier gibts nun einige Möglichkeiten. Die mitgeschnittenen Daten kann tcpdump mit der Option ”-w Datei” in ein Logfile schreiben. Statt von einer Schnittstelle kann es mit ”-r Datei” Daten zur Analyse aus einer Datei aufbereiten. Wenn alles mitgeschnitten wird, können später auch wirklich alle Informationen angesehen werden; bei großen Datenmengen ist jedoch der Plattenplatz irgendwann ein begrenzender Faktor. Eine sinnvolle Alternative bietet sich durch die Benutzung von Filtern. So schneidet man nur jene Informationen mit, die Ihnen in der gegebenen Situation (hoffentlich) weiterhelfen und ignorieren die anderen Daten einfach. Filter können bei tcpdump hinter den Optionen angegeben werden. Sie werden als Pseudo-Code geladen und bezüglich der eintreffenden Pakete interpretiert. Filterausdrücke können sich auf die verschiedenen Header beziehen. Es gibt eine Reihe von Schlüsselworttypen: • Typ 1 bestimmt den oder die zu identifizierenden Rechner. Hierzu zählen die Schlüsselwörter host, net und port. Mit ”host 10.8.4.1” wird festgelegt, dass man alle Daten sehen will, die an diese Maschine gehen oder von dieser kommen. Das geht auch für ganze Netze in der Form ”net 192.168.200.0/23” oder für bestimmte Ports ”port 25”. • Typ 2 - Für Typ 1 war die Übertragungsrichtung egal. Soll diese eine Rolle spielen, stehen die Kürzel src und dst zur Verfügung. Durch ”src host 10.8.4.23” fängt man nur IP-Pakete von der Adresse 10.8.4.23 ein. Auf den Ausdruck ”dst port 22” passen alle Pakete an den Standardport von SSH. • Typ 3 kümmert sich schliesslich um die verschiedenen Protokolle. Er kennt die Ausdrücke arp, ether, fddi, ip, ip6, rarp, tcp, udp und wlan. Um alle ARP-Pakete auf dem ersten Ethernet-Interface zu sehen, startet man einfach tcpdump -i eth0 arp. Nun ist die Welt vielleicht doch noch etwas komplexer. Um feiner abgestimmte Abfragen zu bauen, lassen sich Filterausdrücke mittels logischem UND (and) sowie logischem ODER (or) miteinander verknüpfen. Die Negation von Ausdrücken ist ebenfalls möglich. Mit tcpdump host 10.8.4.254 and 10.8.4.1or10.8.4.2 hält man die Kommunikation von 10.8.4.254 mit den beiden Maschinen 10.8.4.1,2 fest.tcpdump net 10.8.4.0/24 and \!10.8.4.254 greift alle Pakete des Subnetzes auf, die nicht die Maschine 10.8.4.254 zum Ziel oder als Quelle haben. Weitere Filter, beispielsweise das Matchen auf Paketlängen oder die Erklärungen zusätzliche Optionen finden sich in der ausführlichen Hilfe zum Programm; man tcpdump. 11.5.2 Das Ganze in Bunt So richtig komfortabel ist tcpdump sicherlich nicht. Es hat den entscheidenden Vorteil, dass es nicht auf eine grafische Umgebung angewiesen ist. Steht diese aber zur Verfügung, läßt sich das Leben mit ethereal stark erleichtern. Es macht eigentlich ziemlich genau das gleiche, wie tcpdump. Nur stellt es die Ergebnisse in einem dreiteiligen Benutzerinterface sehr gut lesbar dar. Im oberen Teil der Applikation sind alle mitgeschnittenen Pakete aufgelistet, die sich leicht nach fortlaufender Nummer, Quelle, Ziel oder Protokoll umsortieren lassen. Dazu muss man lediglich auf den Tabellenkopf klicken. Im mittleren Teil ist das oben markierte Paket nach seinen Schichten aufgegliedert zu sehen. Der oberste Eintrag bezieht sich auf das gesamte Frame im Rohformat. Anschließend folgt der Ethernet-Header oder
Seite 1 und 2: Kapitel 11 Netzwerkanalyse und Fehl
Seite 3 und 4: 11.2. ERREICHBARKEIT VON DIENSTEN U
Seite 5 und 6: 11.3. NMAP - OFFENE MASCHINEN UND N
Seite 11: 11.5. SCHNÜFFELN IM DATENVERKEHR 1
Seite 15 und 16: 11.6. SAMMELN IM HINTERGRUND - TRAF
Seite 17 und 18: 11.7. WEGEANALYSEN IN IP-NETZWERKEN
Seite 19 und 20: 11.8. STATISTIKEN 175 Von mtr gibts
Seite 21 und 22: 11.8. STATISTIKEN 177 und Zieladres
Seite 23 und 24: 11.8. STATISTIKEN 179 Für längerf
Seite 25 und 26: 11.9. AUFGABEN 181 minimum delay pe

Netzwerkanalyse und Fehlersuche

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?