Der kleine Netzwerker
1x1 der Netzwerktools
Wenn es mal ganz genau sein soll …
… kommt tcpdump, das Schweizer Taschenmesser unter den Tools zur Netzwerk-Analyse, zum Einsatz. Im Regelfall gehört es nicht zur Standardinstallation, steht aber für die meisten Distributionen als fertiges Paket zur Verfügung. Alternativ kann man das Source-Paket [2] zusammen mit der dazu nötigen libpcap selbst kompilieren. Um das Programm zu benutzen, braucht man Administrator-Rechte, weil es die Netzwerkkarte in einen speziellen Modus versetzt, in dem sie alle Pakete liest, die durchs lokale Netz fließen. Das führt dazu, dass der Nutzer z. B. auch fremde Passwörter mitlesen kann.
Der einfache tcpdump-Aufruf gibt einfach alles wieder, was an Datenpaketen gerade über die Netzwerkkarte läuft:
11:56:27.833598 192.168.1.245.ssh > 192.168.1.20.39258: P 1392512:1392720(208) ack 1201 win 9120 <nop,nop,timestamp 2599771999 1711932971> (DF) [tos 0x10]
Hier sieht man, dass der Rechner 192.168.1.245 ein ssh-Datenpaket zum Rechner 192.168.1.20 verschickt hat. Schränkt man die Anzeige mit
tcpdump -i eth0 port 80
ein, sieht man sofort alle Daten für den Port 80, die Datenentgegennahmestelle der meisten Webserver. Die Option -i steht dabei für die Netzwerkschnittstelle ("Interface"), an der das Programm lauschen soll. tcpdump host Zielrechner hingegen zeigt nur den Netzwerkverkehr mit dem Zielrechner an.
Wo laufen sie denn?
Damit man vor lauter Datenpaketen nicht den Überblick verliert, empfiehlt sich der Einsatz spezieller (und in der Regel nachzuinstallierender) Hilfsmittel wie iptraf. Dieses Tool zeigt u. a. an, was genau auf der Netzwerkkarte passiert, welche Protokolle genutzt werden und mit welchen anderen Rechnern der eigene kommuniziert. [q][Enter] beendet es.
Abbildung 7: Auch ohne separate Konfiguration und Filter ist "iptraf" nützlich.
Abbildung 8: Wieviele Pakete gehen von wo nach wo?
Wählt man im Hauptmenü (Abbildung 7) den Punkt IP Traffic Monitor (Abbildung 8), bekommt man einen genauen Überblick über die ein- und ausgehenden Daten und kann erkennen, wo gerade Last anfällt.
Die Detailed Interface Statistics (Abbildung 9) hingegen zeigen nicht an, mit welchen anderen Rechnern Daten ausgetauscht werden, sondern was an Datenverkehrsaufkommen auf die jeweiligen Protokolle entfällt. Hier sieht man ganz genau, wie es mit dem Durchsatz ausschaut und wo etwas im Argen liegt. Beispielsweise sollte es verwundern, wenn weit mehr Daten rausgehen als reinkommen; das deutet darauf hin, dass jemand vom eigenen Rechner etwas herunterlädt.
Abbildung 9: "iptraf" errechnet auch detaillierte Netzwerkstatistiken.
Keine Frage: Zu iptraf wie auch zu den anderen genannten Tools gäbe es noch viel zu erzählen. Zusammen mit weiteren Programmen zur Netzwerk-Analyse, die aktuelle Distributionen nicht von sich aus mitliefern, kann man gut und gerne ganze Bücher füllen. Doch wer sich in diese Richtung weiterbilden will, kommt vorher nicht darum herum, sich eine Menge tiefergehendes Netzwerk-Wissen anzueignen.
Der Autor
Nico Lumma ist Leiter Technik bei der orangemedia.de-GmbH.
Glossar
DNS
DNS-Server führen Datenbanken, mit denen sie u. a. IP-Adressen Internet-Namen zuordnen (und umgekehrt). Mit deren Hilfe beantworten sie Anfragen, die Browser u. a. Internet-Anwendungen ohne Zutun des Users im Hintergrund stellen. Tippt er beispielsweise "www.google.com" ein, läuft eine solche Anfrage, die als Ergebnis die Adresse "216.239.41.99" zurückgibt. Zu der nimmt der Browser schließlich Kontakt auf.
Infos
[1] ifconfig und route: Hans-Georg Eßer, "Netzwerk in der Shell", LinuxUser 03/2002, S. 30 f., http://www.linux-user.de/Ausgabe/2002/03/030-konsole/konsole.html
[2] tcpdump: http://www.tcpdump.org/
Einem Freund empfehlen
