Gepuffert

Das Wireshark-Tool »tshark« bietet einen Ringpuffer, mit dem ein solches Setup besonders einfach ist. Sie aktivieren ihn mit der Option »-b« :

tshark -i eth0 -b filesize:10240 -b files:U
1000 -w if-eth0

Damit überwacht Tshark die Netzwerkschnittstelle »eth0« und legt bis zu 1000 Dateien mit je etwa 10 MByte an, die als Dateinamen einen Zeitstempel der Form YYYYMMDDHHMMSS erhalten:

if-eth0_00001_20090920041232
if-eth0_00002_20090920041252
if-eth0_00003_20090920041258

Mit »mergecap« lassen sich diese Dateien zusammenfügen, für den Fall, dass interessanter Traffic sich einmal über mehrere Dateien erstrecken sollte. Ein Vorteil des Ringpuffers liegt darin, dass man keine Dateinamen rotieren und sich mit der Begrenzung der Dateigrößen nicht darum kümmern muss, dass die Platte irgendwann voll ist.

Alternativ können Sie die Netzwerkdaten auch mit Tcpdump aufnehmen. Neuere Versionen bieten die Option »-C« , die nach einer festgelegten Anzahl von Bytes eine neue Datei anfangen. Sie lässt sich mit »-W« kombinieren, was die Anzahl der Dateien begrenzt und beim Erreichen des Maximums die ältesten Dateien überschreibt.

Selektiv

Um Netzwerkproblemen auf die Spur zu kommen, müssen Sie nicht unbedingt den ganzen Traffic mitschneiden. So genügt es bei vielen Security-Problemen, den DNS-Verkehr zu analysieren (TCP- und UDP-Ports 53). Sie können beispielsweise auch alle ausgehenden HTTP-Requests analysieren und auf die Antworten verzichten, die naturgemäß viel größer ausfallen. Wie die Überwachung mit einer Videokamera verhindert das Mitschneiden des Netzwerkverkehrs keine Einbrüche, aber es kann die Aufklärung im Nachhinein erleichtern und beispielsweise Aufschlüsse darüber geben, welche Server im Einzelnen betroffen sind. (ofr)