Welche Verbindungen die Anwendungen Ihres Rechners mit dem Netzwerk aufnehmen, bleibt meist verborgen. Iptraf bringt Licht ins Dunkel.

Für Administratoren stellen Netzwerk- und Protokollanalysatoren ein unverzichtbares Hilfsmittel dar, um Fehler aufzuspüren und Datenströme zuzuordnen. Auch der Heimanwender profitiert von solchen Programmen – ermöglichen sie ihm doch detaillierte Einblicke darüber, welche Verbindungen sein Rechner mit dem Netzwerk aufbaut. So öffnet alleine der Besuch einer Webseite unter Umständen diverse andere Verbindungen, beispielsweise zu eingebetteten Statistik-Countern, Werbepartnern und vielem mehr. Davon bekommt der Anwender in der Regel jedoch kaum etwas mit.

Das Programm Iptraf verfügt über eine auf Ncurses basierende Oberfläche und ermöglicht Ihnen mit ein wenig Übung das effiziente Überwachen der Netzwerkströme. An zentralen Stellen wie Routern installiert, bietet es stets eine detaillierte Statistik der Datenströme. Viele Distributionen, darunteretwa Ubuntu oder OpenSuse, bringen Iptraf schon in den Repositories mit, sodass Sie es bequem über den Paketmanager installieren. Verwenden Sie ein anderes System, benutzen Sie das auf der Heft-DVD enthaltene statisch kompilierte Binary oder laden es von der Webseite des Anbieters [1] herunter. In diesem Falle gilt es jedoch, die Programmbibliothek Ncurses zu installieren, da Iptraf diese zum Darstellen der grafischen Oberfläche benötigt.

Startmethoden

Sie starten das Programm mit dem Aufruf iptraf als Benutzer root in der Konsole. Danach erscheint ein Eröffnungsfenster, in dem Sie wählen, in welchem Modus des Programms Sie arbeiten möchten. Zur Auswahl stehen unter anderem IP traffic monitor, General interface statistics und Detailed interface statistics. Während der Verkehrsmonitor alle ein- und ausgehenden Verbindungen des gewählten Netzwerkgeräts anzeigt, zeigen die beiden Schnittstellenstatistiken ausschließlich Informationen über das Datenaufkommen in unterschiedlicher Genauigkeit.

Um das Programm direkt in einem bestimmten Modus zu starten, stehen eine Reihe von Kommandozeilenschaltern zur Verfügung: So öffnet der Aufruf iptraf -i Netzwerkgerät direkt den Traffic-Monitor für das angegebene Interface. Der Schalter -s startet das Tool als UDP- und TCP-Monitor. Um Iptraf im Hintergrund zu starten, verwenden Sie -B; alle Ausgaben erfolgen dann in die Standard-Protokolldatei. Das Programm nutzt dafür je Operation ein eigenes Log – der Verkehrsmonitor etwa /var/log/ip_traffic, der UDP/TCP-Monitor /var/log/tcp_udp_services.log.

Um Iptraf beispielsweise im Hintergrund als Traffic-Monitor für die Netzwerkkarte eth0 mit selbst definierter Protokolldatei zu betreiben, geben Sie Folgendes ein:

# iptraf -i eth0 -L /Pfad/zur/Logdatei.txt -B

Iptraf erlaubt auch den Start mehrerer Instanzen. Das ermöglicht Ihnen beispielsweise den gleichzeitigen Betrieb des Traffic-Monitors und der Interface-Statistiken. Um die Prozesse wieder zu beenden, tippen Sie in der Konsole killall iptraf. Eine Liste aller möglichen Startparameter erhalten Sie mit der Eingabe von iptraf -h.

Konfiguration

Um die Einstellungen von Iptraf zu erreichen, wechseln Sie im Hauptfenster in die Rubrik Configure… und bestätigen die Auswahl mit [Eingabe]. Danach erscheint ein zweigeteiltes Fenster (Abbildung 1), das in der rechten Hälfte die aktuellen Einstellungen anzeigt und in der linken die dazugehörigen Umschalter beziehungsweise Untergruppen.

Abbildung 1: Die etwa unorthodoxe Konfigurationsoberfläche von Iptraf zeigt rechts die aktuellen Einstellungen und links die dazugehörigen Umschalter.

Möchten Sie anstelle der IP-Adressen die Domainnamen eines Verbindungspartners sehen, schalten Sie den Eintrag Reverse DNS lookups: auf On. Ähnlich verhält es sich mit TCP/UDP service names, das in eingeschaltetem Zustand die Protokollnamen anstelle der Portnummern anzeigt. Möchten Sie die Datenverbindungen nicht nur Ihres Rechners analysieren, aktivieren Sie Force promiscuous mode. Das versetzt das Programm und die Netzwerkkarte in eine Betriebsart, in der sie auch Pakete empfangen, die nicht direkt für den lokalen Rechner bestimmt sind. Da aber in heutigen LANs fast ausschließlich Switches zum Einsatz kommen, welche die Pakete direkt an den Empfänger weiterleiten, bleibt dieser Schalter meist ohne Wirkung.

Das Aktivieren von Timers… öffnet ein Untermenü, in dem Sie alle die Zeit betreffenden Einstellungen festlegen, wie etwa das Log-Intervall oder den TCP-Timeout. Mit Additional ports… erweitern Sie die vom TCP/UDP-Statistik-Modul berücksichtigten Ports auf solche mit Nummern über 1024. Mit dem Schließen des Fensters über Exit configuration oder [X] übernehmen Sie die gewählten Einstellungen.

Verschiedene Modi

Der für die meisten Anwender wichtigste Betriebsmodus des Programms ist der IP-Traffic-Monitor (Abbildung 2). Er zeigt in Echtzeit alle Netzwerkverbindungen an. Anders als Netzwerksniffer wie Wireshark [2] wertet das Tool aber nicht den Paketinhalt aus, sondern nur die Header-Informationen aus. Während der obere Teil des Fensters die TCP-Verbindungen anzeigt, bildet der untere ankommende und ausgehende UDP-Pakete ab.

Abbildung 2: Der Traffic-Monitor von Iptraf gibt detailliert Auskunft über das aktuelle Datenaufkommen von und zum Rechner.

Neben dem jeweiligen Quell- und Zielhost zeigt Iptraf das Protokoll und den Zustand (beispielsweise SYN, ACK oder CLOSED) der Verbindung an. Mit [Pfeil-oben] und [Pfeil-unten] scrollen Sie in der Liste der Verbindungen. [Tab] wechselt das aktive Fenster und ermöglicht damit auch Scrollen in der Liste der UDP-Pakete. Mit [S] sortieren Sie die TCP-Verbindungen entweder nach Anzahl der Pakete oder nach Datendurchsatz. Mit [M] blenden Sie zusätzliche Verbindungsinformationen ein, etwa die MAC-Adresse oder die Paketgröße.

Den zweiten wichtige Modus des Programms erreichen Sie in der Übersicht unter Statistical breakdowns…. Wählen Sie aus dem Untermenü By TCP/UDP port, so zeigt Ihnen Iptraf eine Liste aller geöffneten Protokolle sowie die Datenmenge, die darüber verschickt und empfangen wurde.

Filtern

Oft behindert die Datenflut eine Analyse des Netzwerkverkehrs. Hier sorgt der Filter von Iptraf für Abhilfe. Das Konfigurationswerkzeug dazu öffnen Sie über Filters… im Hauptfenster. Möchten Sie einen neuen IP-Filter anlegen, wählen Sie aus dem Untermenü IP… und danach Define new filter…. Geben Sie dem Filter jetzt einen möglichst aussagekräftigen Namen und betätigen Sie im folgenden Fenster [I] für Insert, um eine neue Regel zu erstellen. Ähnlich wie bei einem Firewall-Regelsatzes darf ein Filter beliebig viele unterschiedliche Regeln enthalten. Im Filtereditor stellen Sie ein, von und zu welcher IP-Adresse Iptraf Pakete wahrnehmen soll.

Um einen ganzen Adressbereich zu berücksichtigten, verwenden Sie die Wildcard mask. So schließt die Eingabe von 192.168.0.0 mit der Netzwerkmaske 255.255.255.0 alle Rechner mit den IP-Adressen von 192.168.0.1 bis 192.168.1.254 ein. Eine Eingabe von Domainnamen ist nicht möglich. Unter Port geben Sie an, welche Ports das Programm berücksichtigt, und unter Protocols to match, welche Protokolle es erfasst. Sie schließen das Bearbeiten mit [Eingabe] ab und aktivieren den neuen Filter über Filters… | IP… | Apply filter… | “Filtername”. Das Online-Manual [3] beschreibt ausführlich alle Einstellungen und deren Wirkung.