Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Weitergehende Analysen

Alle bisher beschriebenen Funktionen beziehen sich mehr oder weniger nur auf das Erfassen der zu analysierenden Daten. Filter dienen im Wesentlichen dazu, das zu erwartende Datenaufkommen einzuschränken, aber auch dazu, die Analyse auf die zu untersuchenden (möglicherweise verdächtigen) Ports oder Protokolle einzuschränken.

Darüber hinaus bietet Wireshark aber auch ein beachtliches Sortiment an Analyse-Funktionen im Menü »Analyze« . Neben der erwähnten Toolbar zum Definieren von Display-Filtern lassen sich hier auch gezielt einzelne Protokolle deaktivieren (Abbildung 6).

Abbildung 6: Wireshark kennt eine riesige Anzahl wichtiger Protokolle, die der Administrator in eigenen Filterausdrücken verwenden kann, um nur relevanten Traffic mitzuschneiden.

Sehr nützlich und leistungsfähig ist auch der Menüpunkt »Analyze | Expert Infos« , mit dessen Hilfe der Admin sich einen Überblick über einen ausgewählten Protokollablauf verschaffen kann, um daraus für die Fehlersuche nützliche Informationen zu gewinnen.

Möchte der Admin beispielsweise einen Authentifizierungs-Handshake im Detail verfolgen, bietet Wireshark dazu die Funktion der Stream-Verfolgung unter »Analyze | Follow TCP Stream« (alternativ »Follow UDP Stream« und »Follow SSL Stream« ). Die Funktion lässt sich etwa anhand eines SSH-Logins illustrieren, wozu der Admin auf einem zweiten Rechner einen SSH-Server aktiviert und dann auf dem ersten Rechner Wireshark sowie ein SSH-Login startet. Zuvor konfiguriert er Wireshark so, dass ein Protokoll-Filter dafür sorgt, dass Wireshark ausschließlich Pakete aufzeichnet, die zu einer SSH-Sitzung gehören. Dazu muss er die Aufzeichnung zunächst via Capture- oder Display-Filter auf das SSH-Protokoll beschränken. Als Capture-Filter sieht das so aus:

port 22

Dann startet der Administrator die Aufzeichnung, loggt sich auf der Konsole per SSH auf dem anderen Rechner ein und wählt anschließend aus dem Menü »Analyze« den Punkt »Follow TCP Stream« . Das Ergebnis sollte etwa so aussehen wie in Abbildung 7.

Abbildung 7: Nützlich ist die Option, TCP- oder UDP-Streams Paket für Paket zu verfolgen.

Da SSH die Verbindung verschlüsselt, kann kein Hacker durch den Einsatz von Wireshark nennenswerte Informationen aus der Analyse gewinnen. Das Beispiel verdeutlicht aber auch, wie einfach sich mit der Funktion »Follow TCP Stream« etwa ein Telnet-Login – oder etwas zeitgemäßer – ein nicht via SSL gesicherter HTTP-Login mitlesen lässt.

Statistik

Wireshark bietet im Menü »Statistics« außerdem eine ganze Reihe nützlicher Statistik-Funktionen. Mit deren Hilfe kann der Admin beispielsweise Statistiken über IP-Adressen, Paketlängen, Protokolltypen, Kommunikations-Endpunkte (Endpoints), Kommunikationsbeziehungen (Conversations), Service-Antwortzeiten und vieles mehr erstellen.

Interessant und nützlich ist auch der Menüpunkt »Statistics | UDP Multicast-Streams« . Vermutet der Admin Probleme im Bereich VoIP beziehungsweise bei der Internet-basierten Sprachübertragung im Allgemeinen, sollte er sich auch im Menü »Telephony« umsehen. Hier lässt sich der Datenverkehr im Handumdrehen zum Zwecke der Analyse von Telefonie-Daten filtern. Bei der Internet-Telefonie basieren sowohl der Signal-Traffic (SIP) als auch der Voice-Traffic (RTP) auf UDP. Das Erstellen von passenden Filtern und Statistiken ist daher mithilfe der Menüpunkte »Telephony | SIP ...« und »Telephony | RTP« schnell erledigt. Insbesondere Letzterer ist sehr leistungsfähig.

Mit »Telephony | RTP | Show All Streams« sind im Nu alle vorhandenen RTP-Streams gefiltert und visualisiert. Die RTP-Stream-Analyse unter »Telephony | SIP | Stream Analysis« erzeugt dann für den gewählten RTP-Stream eine Statistik, die unter anderem die Ankunftszeit eines Paketes, den Delay und den Jitter anzeigt.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019