Systeme: Paketanalyse in virtuellen Umgebungen

Das einfachste virtuelle Szenario basiert auf einem einzigen physikalischen Server, der mehrere virtuelle Maschinen (VMs) beherbergt. Doch innerhalb eines physischen Rechners lässt sich der Datenverkehr nur schwer aufzeichnen. Die Pakete, die zwischen VMs im gleichen Server ausgetauscht werden, verlassen den Hardware-Server nämlich nicht. Aus diesem Grund taugt auch ein physischer Span-Port am Switch zur Aufzeichnung der Datenströme nichts.

Inzwischen gibt es jedoch eine Lösung für dieses Analyseproblem: Ein virtueller Switch mit einem integrierten Span-Port. Dieser ermöglicht es, eine NIC auf dem virtuellen Switch als Ziel für den aufzuzeichnenden Verkehr zu definieren.

Entweder Sie nutzen dabei eine vNIC auf einer VM auf dem Server oder Sie verwenden eine pNIC, um die Pakete zu einem externen Sniffer zu übermitteln.

Überwachung auf zwei Wegen

Der Vorteil einer VM als Paketsammler auf dem Server: Sie benötigen keine zusätzliche Hardware. Der Nachteil besteht jedoch darin, dass ein zusätzlicher Datenverkehr auf den virtuellen Switches erzeugt und möglicherweise zusätzlicher Speicher zum Ablegen der aufgezeichneten Pakete auf der Festplatte benötigt wird. Normalerweise ist die Netzanalyse ein passiver Prozess. Da der Sniffer auf dem physischen Server läuft, findet die Speicherung der Daten auf der lokalen Festplatte statt. Dies hat eventuell Auswirkungen auf den gesamten VM-Server.

Alternativ können Sie die Daten im Nonpromiscuous-Modus innerhalb der VM selbst aufzeichnen. Hierbei legen Sie einen Capture-Filter auf der betreffenden VM an, für die Sie eine Paketaufzeichnung ausführen möchten. Mit dem Programm "tcpdump" funktioniert das Sniffing auf einer Linux-basierten VM relativ einfach. Es empfiehlt sich, die Option "-w" zu nutzen. Dadurch schreibt die Software die aufgezeichneten Pakete in ein pcap-File. Anschließend können Sie das

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.