Das Netz unter der Lupe
out of the box
Klassik: Das Text-Interface
Wird ntop in einem Text-Terminal gestartet, so verhält es sich ähnlich wie der Unix-Klassiker top. Nur zeigt ntop nicht die Prozessorauslastung durch diverse Prozesse an, sondern den durch verschiedene Rechner verursachten Netzwerkverkehr. In Abbildung 1 findet gerade ein größeres Datengeschaufel von sphere nach camera statt. Der aktuelle Durchsatz ("Throughput") ist oben rechts ablesbar. Das Programm wurde mit ntop -i eth0 gestartet, also angewiesen, Pakete auf der ersten Ethernet-Karte abzugreifen.
Abbildung 1: ntop im Text-Terminal
Im Text-Interface reagiert ntop auf verschiedene Tasten. Am interessantesten ist die Leertaste, die weitere Informationen in die Spalten der angezeigten Tabelle holt, etwa zu Anwendungsprotokollen wie FTP, HTTP oder DNS. Andere Tastenfunktionen entnehmen Sie der Manpage, die Sie mit man ntop lesen können.
Pop: Das Web-Interface
Jetzt verlassen wir das Textinterface mit der Taste q und starten das Programm mit ntop -i eth0 -w 888 erneut. Im Terminal ist nun keine Ausgabe mehr sichtbar, dafür können Sie sich mit einem Frame-fähigen Web Browser auf Port 888 mit dem so gestarteten ntop-Dienst verbinden. Dies geschieht, indem Sie im Browser http://localhost:888/ als Seitenadresse eingeben. Anders als im Textinterface müssen Sie ein [Strg-C] ins Terminal mit dem ntop-Aufruf schicken, um den Dienst wieder zu beenden.
Abbildung 2: Statistiken im Web-Interface
Abbildung 3: Einzelne Rechner im Überblick
Über das Web-Interface stellt ntop wesentlich mehr Informationen zur Verfügung. Die Abbildungen 2 und 3 zeigen nur eine kleine Auswahl der umfangreichen Statistiken über die Anteile der Protokolle am Gesamtdurchsatz, die Bandbreitennutzung, Netzwerkkartenhersteller, aktuell laufende Netzwerkverbindungen und vieles mehr. In Tabelle 1 sind alle Links von der ntop-Hauptseite und deren Funktionen beschrieben.
Kleine Netzwerkprotokollkunde
Grundlegende Protokolle
(R)ARP ("[Reverse] Address Resolution Protocol") wird verwendet, um zu einer IP-Adresse die MAC-Adresse einer Netzwerkkarte zu finden. Nur so können in einem lokalen Netz IP-Pakete an den richtigen Rechner zugestellt werden. Die MAC-("Media Access Control")-Adresse ist eine durch die Hardware der Netzwerkkarte festgelegte Adresse.
IP ("Internet Protocol") ist ein Transportmechanismus für verschiedene Protokolle wie TCP und UDP. Es versendet Pakete anhand ihrer Ziel-IP-Adresse. IP ist nicht auf ein lokales Netz beschränkt.
TCP ("Transmission Control Protocol") ist ein verbindungsorientiertes Protokoll, über das viele Dienstprotokolle wie HTTP, SSH oder NBios-IP laufen. Während mit IP Pakete nur verschickt werden, bietet TCP eine Empfangsbestätigung. Verbindungsorientiert bedeutet dabei, dass Netzwerkverbindungen durch spezielle IP-Pakete explizit auf- und abgebaut werden müssen.
UDP ("User Datagram Protocol") ist ein verbindungsloses Protokoll, über das Dienstprotokolle wie DNS laufen. Zum zuverlässigen Übertragen größerer Datenmengen ist UDP nicht geeignet. Verbindungslos bedeutet, dass es protokollintern keine Möglichkeit gibt sicherzustellen, dass ein Paket wirklich beim Empfänger angekommen ist.
Eine kleine Auswahl Dienstprotokolle
HTTP ("Hypertext Transfer Protocol") ist das Übertragungsprotokoll des World Wide Web.
SSH ("Secure Shell") ist ein verschlüsseltes Protokoll für das Anmelden auf entfernten Rechnern.
NBios-IP ("Netbios over IP", auch SMB ("Server Message Block") genannt) ist das Protokoll, das ein Samba-Server für Windows-Dateifreigaben benutzt.
DNS ("Domain Name Service") löst Rechnernamen wie www.linux.de zu IP-Adressen auf.
Tabelle 1: Welcher Link zeigt was?
| Nr. | Bezeichnung | Bedeutung |
|---|---|---|
| 1. | What's ntop? | Allgemeine Informationen über ntop. |
| 2. | Data Rcvd | Übersicht über empfangene Daten, aufgeschlüsselt in Daten, die auf IP oder alle Protokolle entfallen, sowie den Durchsatz. |
| 3. | Data Sent | Übersicht über gesendete Daten, aufgeschlüsselt in IP, alle Protokolle und den Durchsatz. |
| 4. | Multicast Stats | Pakete, die gleichzeitig an mehrere Rechner verschickt werden. |
| 5. | Traffic Stats | Information über Paketgrößen und Anteile der Protokolle am Gesamtdurchsatz. |
| 6. | Thpt Stats | Der Durchsatz der letzten 60 Minuten als Balkengrafik. |
| 7. | Hosts Info | Information zu Rechnern, aufgeschlüsselt nach Rechnern. |
| 8. | R->L IP Traffic | Netzverkehr von außen ins lokale Netz. |
| 9. | L->R IP Traffic | Netzverkehr aus dem lokalen Netz nach außen. |
| 10. | L<- ->L IP Traffic | Netzverkehr innerhalb des lokalen Netzes. |
| 11. | Active TCP Sessions | Momentan aufgebaute TCP-Verbindungen. |
| 12. | IP Protocol Distribution | Anteile der über IP transportierten Protokolle. |
| 13. | IP Protocol Usage | Zwischen welchen Rechnern werden welche Protokolle benutzt? |
| 14. | IP Traffic Matrix | Zwischen welchen Rechner wurde wieviel übertragen? |
| 15. | Credits | Danksagung des Autors. |
| 16. | Man Page | Die Manualseite zu ntop. |
Einem Freund empfehlen
