Netzwerkanalyse und Fehlersuche

Weitere Magazine

Empfehlungen

Info

170 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE Abbildung 11.1: DNS-Anfrage - man sieht, dass der Client zuerst nach einer IPv6 und dann nach einer IPv4 Adresse anfragt andere Layer2-Header. Dann kommt IP, IPv6 oder ein anderes Protokoll der Verbindungsschicht. Darauf folgend der Transport-Kopf, also meistens der TCP- oder UDP-Header. Zum Schluss sieht man die Applikationsdaten, die ethereal versucht weitestgehend zu interpretieren. Im unteren Fensterdrittel stellt ethereal das Paket als Hexdump dar und markiert den Protokollteil, der in der Mitte markiert wurde. Die Paketanalyse wird denkbar einfach: Man starte Ethereal und wählen über das Menü ”Capture ¿ Start” aus. Hier trägt man noch das Interface ein, das mitgeschnitten werden soll und los gehts mit ”OK”. Es erscheint ein neues Fenster ”Capture from ...”. Hat man genug Pakete eingefangen stoppt man hier das Mitschneiden. Ethereal baut nun eine Liste der Pakete auf und stellt sie wie oben beschrieben zur weiteren Betrachtung dar. Auch ethereal erlaubt wie tcpdump das Laden und Speichern von Mitschnitten. Das geht ganz einfach über das File-Menü. Auch hier hat man vielleicht irgendwann soviele Daten mitgeschnitten, dass man mit einfachem Umsortieren nicht mehr weiterkommt. Es lassen sich dazu Filter angeben, die man entweder direkt in das Eingabefeld unterhalb der Menüzeile einfüttert oder den Assistenten ”Expression” neben dem Feld erstellen läßt. Letzterer erlaubt einem sehr einfach Filter zu bauen. Dabei kann man dann fast nichts mehr falsch machen. Das Filtern auf eine MAC-Quelladresse sieht dann beispielsweise so aus: ”eth.src == 00:10:A4:8D:56:0A”. Will man auf IP Pakete filtern, die keine TCP-Payload haben, erreicht man das mit: ”ip.proto != 6”. Will man alle DNS-Antworten sehen, gebe man als Filter: ”dns.flags.response == 1” an. Grenzen gibt es praktisch keine. Wenn ein Filter nichts matcht, sind nach dem Druck auf den Button ”Apply” die unteren Fensterteile leer. Andernfalls finden sich dort alle Pakete auf den der Filter passte. Sagte einem der Filter nicht zu, löscht man ihn mit ”Clear” und schon sieht man wieder den ursprünglichen Mitschnitt. Um wirklich zu realisieren, wie einfach ein Netzwerkmitschnitt und dessen Analyse ist, starte man auf einer Maschine eigener Wahl den Telnet-Dienst. Der muss vielleicht erst noch nachinstalliert und dann aktiviert. Keine aktuelle Distribution bindet ihn standardmäßig mehr ein - Telnet ist
11.6. SAMMELN IM HINTERGRUND - TRAFMOND 171 Abbildung 11.2: TCP-Sessions lassen sich einfach verfolgen, dafür muss nur ein Paket der interessierenden Verbindung markiert werden der sicherheitsmäßige Sündenfall schlechthin. Wem das Beispiel sinnlos erscheint, schneide einfach mal die Anmelde-Prozedur an einen GMX-Account per Webinterface mit. Die Datenmenge ist höher, da ja die ganzen Banner noch geladen werden müssen, aber das Passwort ist dann leicht zu finden. Man klicke einfach auf ein Paket welches zur Sitzung gehört und gehe anschliessend in das Menü ”Analyze - Follow TCP Stream”. Man sieht einen Mitschnitt in dem die Senderichtung in roter und die Empfangsrichtung in blauer Schrift dargestellt ist. In Frage kommen alle Protokolle, die Passwörter unverschlüsselt austauschen. Dass auch noch der Inhalt der Sitzung so einfach nachvollzogen werden kann, ist eine andere Sache - die Dienste auf dem Weg werden es einem danken. Damit sind die Möglichkeiten von Ethereal längst nicht erschöpft. Der Admin kann sich über das gleichnamige Menü diverse Statistiken zu den eingefangenen Daten generieren lassen, die verschiedenen Kommunikationen zur besseren Identifikation bunt einfärben und vieles andere mehr. 11.6 Sammeln im Hintergrund - trafmond Während sich beispielsweie icmpmon lediglich mit dem gleichnamigen Protokoll beschäftigte, beobachtet der trafmond den Netzwerkverkehr (dauerhaft) im Hintergrund. Bei einigen Distributionen ist Trafmon schon mit einem Runlevel-Skript vertreten und kann gleich beim Start eines Rechners mit hochgefahren werden. Der im Hintergrund laufende trafmond sammelt still und leise seine Daten und hinterlegt sie in einer Binärdatei /var/log/trafmon platzsparend ab. Diese Datei läßt sich mit dem Kommandozeilenwerkzeug trafmon auswerten. Die Zahl der ”v” bestimmt wiederum die Menge der Ausgaben: hermes:~ # trafmon -vv
Seite 1 und 2: Kapitel 11 Netzwerkanalyse und Fehl
Seite 3 und 4: 11.2. ERREICHBARKEIT VON DIENSTEN U
Seite 5 und 6: 11.3. NMAP - OFFENE MASCHINEN UND N
Seite 11 und 12: 11.5. SCHNÜFFELN IM DATENVERKEHR 1
Seite 13: 11.5. SCHNÜFFELN IM DATENVERKEHR 1
Seite 17 und 18: 11.7. WEGEANALYSEN IN IP-NETZWERKEN
Seite 19 und 20: 11.8. STATISTIKEN 175 Von mtr gibts
Seite 21 und 22: 11.8. STATISTIKEN 177 und Zieladres
Seite 23 und 24: 11.8. STATISTIKEN 179 Für längerf
Seite 25 und 26: 11.9. AUFGABEN 181 minimum delay pe

Netzwerkanalyse und Fehlersuche

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?