Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr der Adresse aufzeichnen mit "Wireshark", überprüfen, ob Überlastung durch Pakete stattfindet, die nicht von PARITy kommen. Eine kleine Anleitung zu diesem Tool findet sich untenstehend 2. Falls Störungen bei Netzwerkkomponenten (z. B. Switches) angezeigt werden, gemäss gerätespezifischen Handbüchern vorgehen. Kleine Anleitung zur Benutzung von Wireshark Wireshark war ehemals bekannt unter dem Namen Ethereal. Benutzeroberfläche (GUI) Die Oberfläche von "Wireshark" in Aktion sieht in etwa so aus; Im Wesentlichen besteht die Anwendung aus zwei Fenstern, wobei das kleine Fenster unten rechts lediglich der Statistik dient und optional ein- oder ausgeblendet werden kann. Der Inhalt der Statistik gibt Auskunft über die Anzahl aufgezeichneter Netzwerk-Frames und der verwendeten Protokolle. Mittels Stop-Button kann die aktuelle Aufzeichnung gestoppt werden.
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 2 Das grosse, in drei Teile gegliederte Fenster, stellt den Hauptteil der Anwendung dar. Am interessantesten ist der oberste der drei Teile. In diesem Teil der Anwendung werden die Netzwerk-Pakete chronologisch korrekt zeilenweise dargestellt. Folgende Informationen können dieser Ansicht entnommen werden: No. Nummer des Paketes. Das erste aufgezeichnetes Paket erhält die Nummer 1 Time Source Ankunftszeit des Paketes (je nach Konfiguration Uhrzeit oder vergangene Zeit seit Beginn der Aufzeichnung) Absender des Paketes (je nach Konfiguration IP-Adresse, FQDN, Hostname oder MAC-Adresse) Destination Empfänger des Paketes (je nach Konfiguration IP-Adresse, FQDN, Hostname oder MAC-Adresse) Protocol Info Verwendetes Netzwerk-Protokoll, beispielsweise im Falle eines Ping- Requests typischerweise ICMP (siehe Screenshot) Kurze Beschreibung des Inhaltes des Paketes, beispielsweise im Falle eines Ping-Reply typischerweise Echo (ping) reply (siehe Screenshot)
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 3 Mit dem Filter-Feld darüber kann diese Ansicht noch nach bestimmten Kriterien wie Protokoll, IP-Adressen oder anderes gefiltert werden. Wichtig zu wissen ist, dass es sich hier um einen sogenannten Display-Filter handelt. Im Falle einer Filterung der ICMP-Pakete würde es nachher wie folgt aussehen: Anhand dieser Ansicht hat man also einen guten Überblick über sämtliche aufgezeichneten Pakete und deren wichtigsten Informationen. Des Weiteren kann mit dem Display-Filter schliesslich eine Auswahl getroffen werden, um lediglich die Pakete anzuzeigen, die im Mittelpunkt des Interesses stehen. Hat man nun ein Paket entdeckt, dass man sich etwas genauer anschauen möchte, markiert man es und richtet seine Aufmerksamkeit auf die beiden darunter liegenden Fenster: Im mittleren Bereich kann man erkennen, dass mehr oder weniger die gleichen Informationen dargestellt werden wie beim oben markierten Paket. Tatsächlich handelt es sich auch um die gleichen Informationen bzw. das gleiche Paket.
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 4 Während oben eine grobe Zusammenfassung der wichtigsten Informationen zu sehen ist, werden im mittleren Bereich sämtliche Informationen in detaillierter Form und zwar nach Layer und Protokoll sortiert ausgewiesen. Wie man auf dem obigen Screenshot erkennen kann, ist das oben markierte Paket das erste Paket eines TCP 3-Way-Handshakes (TCP Verbindungsaufbau). Damit eine solche TCP-Verbindung zustande kommen kann muss zuerst dieser Verbindungsaufbau bestehend aus drei Paketen durchlaufen werden. Um seinem Gegenüber mitzuteilen, dass ein Verbindungsaufbau stattfinden soll, wird ihm ein TCP-Paket mit gesetzter SYN-Flagge gesendet. Dies wird im obersten Bereich unter Info mit [SYN] ausgewiesen. Wenn man nun im mittleren Bereich den TCP-Teil (Transmission Control Protocol) expandiert, werden die SYN-Flagge sowie sämtliche anderen TCP-Optionen ebenfalls ausgewiesen. Wenn man nun noch im mittleren Bereich die ausgewiesene SYN-Flagge markiert, so erkennt man im untersten Bereich, dass sich ein Teil der dargestellten Zahlen und Buchstaben ebenfalls blau verfärbt. Dies ist der Fall, weil es sich dabei wieder um die exakt selben Informationen lediglich in anderer Schreibweise handelt. Beim untersten Bereich handelt es sich um Raw-Data (rohe Daten), nämlich einerseits um den sogenannten HEX-Dump des Paketes und gleichzeitig rechts daneben die Übersetzung in ASCII. Hier werden sämtliche Informationen in hexadezimaler Schreibweise bzw. ASCII-Code dargestellt. Dies kann nützlich sein, wenn man einen Einblick in die Struktur des Paketes erhalten möchte. Meistens jedoch sind die beiden oberen Bereiche von grösserem Interesse, da diese nämlich bereits sämtliche Informationen ausweisen, die ein Paket hergibt und für den Betrachter ohne weiteres les- und auswertbar sind.
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 5 Aufzeichnung des Netzwerkverkehrs Es gib mehrere Möglichkeiten, den Netzwerkverkehr aufzuzeichnen. In der Praxis hat sich folgendes bewährt: Ausgangslage ist der Screenshot, der sich ergibt, wenn man "Wireshark" neu aufstartet: Möchte man jetzt mit einer neuen Aufzeichnung beginnen, so klickt man auf Capture und wählt Interfaces. Alternativ kann man auch einfach Ctrl+I drücken. Anschliessend öffnet sich dann eine Übersicht mit den verfügbaren Interfaces. Diese Übersicht enthält: jeweils eine Beschreibung zum Interface dessen IP, falls vorhanden den momentanen Verkehr in Form von Anzahl Pakete die das Interface passierten Pakete pro Sekunde.
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 6 Dahinter hat man die Möglichkeit, mittels Start eine Aufzeichnung zu starten. Mit Options kann man vor dem Start der Aufzeichnung noch einige spezifische Einstellungen vornehmen, und mittels Details kann man sich mehr Informationen zum entsprechenden Interface anzeigen lassen. Hier wird jedoch bewusst der Weg über die Options gewählt. Klickt man auf Options, so öffnet sich nun ein weiteres Fenster, mit welchem zusätzliche Einstellungen für die spätere Aufzeichnung vorgenommen werden können. Im folgenden werden die wichtigsten Optionen beschrieben. Allen voran und deutlich erkennbar ist der Capture-Filter, nicht zu verwechseln mit dem Display-Filter. Im Gegensatz zum Display-Filter wird mit dem Capture-Filter keine Sortierung vorgenommen, sondern man definiert damit, welche Pakete überhaupt aufgezeichnet werden sollen. Würde man jetzt icmp als Capture-Filter definieren, würden lediglich sämtliche ICMP-Pakete, die diesen Adapter passieren, aufgezeichnet, und keine weiteren Pakete. Die Syntax des Capture-Filters ist nicht identisch mit der des Display-Filters: host 10.100.2.50 Capture-Filter: Alle Pakete, die mit dem Host 10.100.2.50 zu tun haben
Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 7 ip.addr == 10.100.2.50 Gleicher Effekt beim Display-Filter Des Weiteren gibt es die Display Options sowie die Optionen zur Name Resolution : 1 2 3 4 5 6 1. Pakete in Echtzeit anzeigen, nicht erst nach Beendigung der Aufzeichnung 2. Automatischen herunterscrollen während der Aufzeichnung 3. Kleines Statistik-Fenster nicht anzeigen 4. MAC-Name auflösen: 00:13:d4:17:7a:62 AsustekC_17:7a:62 5. Hostname auflösen: 10.100.2.50 sfr02.ims-info.local 6. Transport-Namen auflösen: Konvertiert Portnummern in Protokollnamen ("25" zu "smtp") Hat man sämtliche Einstellungen vorgenommen, wird mittels Start-Button unten rechts mit der Aufzeichnung begonnen. Möchte man die Aufzeichnung stoppen, so kann dies in der Symbolleiste mit dem vierten Symbol von links gemacht werden: Zum Speichern einer Aufzeichnung klickt man entweder oben links auf File und danach auf Save as, oder man verwendet die Tastenkombination Ctrl+S. Anschliessend gibt man einen Namen sowie den Speicherort an und bestätigt die Eingabe.