Beinahe enzyklopädisch behandelt unser Schwerpunkt-Artikel über IPSEC verschlüsselte Verbindungen zwischen Linux, Windows, BSD, Solaris, Cisco- sowie ... (mehr)

Gepuffert

Das Wireshark-Tool »tshark« bietet einen Ringpuffer, mit dem ein solches Setup besonders einfach ist. Sie aktivieren ihn mit der Option »-b« :

tshark -i eth0 -b filesize:10240 -b files:U
1000 -w if-eth0

Damit überwacht Tshark die Netzwerkschnittstelle »eth0« und legt bis zu 1000 Dateien mit je etwa 10 MByte an, die als Dateinamen einen Zeitstempel der Form YYYYMMDDHHMMSS erhalten:

if-eth0_00001_20090920041232
if-eth0_00002_20090920041252
if-eth0_00003_20090920041258

Mit »mergecap« lassen sich diese Dateien zusammenfügen, für den Fall, dass interessanter Traffic sich einmal über mehrere Dateien erstrecken sollte. Ein Vorteil des Ringpuffers liegt darin, dass man keine Dateinamen rotieren und sich mit der Begrenzung der Dateigrößen nicht darum kümmern muss, dass die Platte irgendwann voll ist.

Alternativ können Sie die Netzwerkdaten auch mit Tcpdump aufnehmen. Neuere Versionen bieten die Option »-C« , die nach einer festgelegten Anzahl von Bytes eine neue Datei anfangen. Sie lässt sich mit »-W« kombinieren, was die Anzahl der Dateien begrenzt und beim Erreichen des Maximums die ältesten Dateien überschreibt.

Selektiv

Um Netzwerkproblemen auf die Spur zu kommen, müssen Sie nicht unbedingt den ganzen Traffic mitschneiden. So genügt es bei vielen Security-Problemen, den DNS-Verkehr zu analysieren (TCP- und UDP-Ports 53). Sie können beispielsweise auch alle ausgehenden HTTP-Requests analysieren und auf die Antworten verzichten, die naturgemäß viel größer ausfallen. Wie die Überwachung mit einer Videokamera verhindert das Mitschneiden des Netzwerkverkehrs keine Einbrüche, aber es kann die Aufklärung im Nachhinein erleichtern und beispielsweise Aufschlüsse darüber geben, welche Server im Einzelnen betroffen sind. (ofr)

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Netzwerkanalyse mit Wireshark

Ein Administrator gewinnt nur dann nützliche Erkenntnisse aus der Netzwerkanalyse, wenn er die grundlegenden Verfahren und Protokolle vesteht. Der Netzwerk-Analyzer Wireshark hilft ihm dabei.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019