Netzwerkanalyse: Unterschied zwischen den Versionen

Aus Wiki Freifunk-3Ländereck
Wechseln zu: Navigation, Suche
(Einzelnachweise)
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=Werkzeuge=
 
=Werkzeuge=
 
 
Für eine erste Orientierung und Statistik zur Protokoll-Hierarchie empfiehlt sich der Mitschnitt mittels tshark in der folgenden Konfiguration:
 
Für eine erste Orientierung und Statistik zur Protokoll-Hierarchie empfiehlt sich der Mitschnitt mittels tshark in der folgenden Konfiguration:
  
$ tshark -ni <interface> -qz io,phs
+
<code>$ tshark -ni <interface> -qz io,phs</code>
  
 
Der Mitschnitt läuft unbegrenzt und kann jederzeit unterbrochen werden. Im Anschluss erhält man eine Statistik zur Zusammensetzung des Netzverkehrs. Da tshark eine Konsolenanwendung ist, kann das Werkzeug auf allen Servern eingesetzt werden.
 
Der Mitschnitt läuft unbegrenzt und kann jederzeit unterbrochen werden. Im Anschluss erhält man eine Statistik zur Zusammensetzung des Netzverkehrs. Da tshark eine Konsolenanwendung ist, kann das Werkzeug auf allen Servern eingesetzt werden.
Zeile 9: Zeile 8:
 
Für das mitschneiden und die anschliessende Analyse des gesamten Netzwerkverkehrs auf einer Schnittstelle eignet sich die Anwendung Wireshark. Da Wireshark jedoch eine graphische Oberfläche besitzt, kann man es in der Regel nicht direkt auf Servern einsetzen. Um dennoch in den Genuss der vielfältigen, intuitiv anwendbaren Analysen zu kommen, kann Wireshark auch über einen SSH-Tunnel in der Kombination mit tcpdump eingesetzt werden:  
 
Für das mitschneiden und die anschliessende Analyse des gesamten Netzwerkverkehrs auf einer Schnittstelle eignet sich die Anwendung Wireshark. Da Wireshark jedoch eine graphische Oberfläche besitzt, kann man es in der Regel nicht direkt auf Servern einsetzen. Um dennoch in den Genuss der vielfältigen, intuitiv anwendbaren Analysen zu kommen, kann Wireshark auch über einen SSH-Tunnel in der Kombination mit tcpdump eingesetzt werden:  
  
$ ssh <user>@<host> sudo tcpdump -i <interface> -U -s0 -w - 'not port 22' | wireshark -k -i -
+
<code>$ ssh <user>@<host> sudo tcpdump -i <interface> -U -s0 -w - 'not port 22' | wireshark -k -i -</code>
 +
 
 +
Um zu überprüfen, ob ein bestimmter UDP-Port auf einem Host geöffnet ist, lässt sich der Netzwerk-Scanner nmap einsetzen [1]. Der Test kann z.B. sinnvoll sein, um zu überprüfen, dass gewisse Firewall-Regeln greifen:
  
Um zu überprüfen, ob ein bestimmter UDP-Port auf einem Host geöffnet ist, lässt sich der Netzwerk-Scanner nmap einsetzen. Der Test kann z.B. sinnvoll sein, um zu überprüfen, dass gewisse Firewall-Regeln greifen:
+
<code>$ sudo nmap -p <port> -sU -P0 <host></code>
$ sudo nmap -p <port> -sU -P0 <host>
 
  
 
Ist der Port geöffnet, sollte die Ausgabe in etwa wie folgt aussehen:
 
Ist der Port geöffnet, sollte die Ausgabe in etwa wie folgt aussehen:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:13 CET
+
 
Nmap scan report for 10.119.0.2
+
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:13 CET
Host is up (0.000029s latency).
+
Nmap scan report for 10.119.0.2
PORT      STATE        SERVICE
+
Host is up (0.000029s latency).
10000/udp open|filtered ndmp
+
PORT      STATE        SERVICE
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)
+
10000/udp open|filtered ndmp
 +
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)
  
 
Die ist das Ergebnis im Fall eines gesperrten Ports:
 
Die ist das Ergebnis im Fall eines gesperrten Ports:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:18 CET
 
Nmap scan report for 10.119.0.2
 
Host is up (0.013s latency).
 
PORT      STATE  SERVICE
 
10000/udp closed ndmp
 
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)
 
  
== Einzelnachweise ==
+
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:18 CET
http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/ blog.nielshorn.net
+
Nmap scan report for 10.119.0.2
 +
Host is up (0.013s latency).
 +
PORT      STATE  SERVICE
 +
10000/udp closed ndmp
 +
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)
 +
 
 +
= Einzelnachweise =
 +
# http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/ blog.nielshorn.net
 +
# http://adityo.blog.binusian.org/?p=787

Aktuelle Version vom 6. März 2015, 21:46 Uhr

Werkzeuge

Für eine erste Orientierung und Statistik zur Protokoll-Hierarchie empfiehlt sich der Mitschnitt mittels tshark in der folgenden Konfiguration:

$ tshark -ni <interface> -qz io,phs

Der Mitschnitt läuft unbegrenzt und kann jederzeit unterbrochen werden. Im Anschluss erhält man eine Statistik zur Zusammensetzung des Netzverkehrs. Da tshark eine Konsolenanwendung ist, kann das Werkzeug auf allen Servern eingesetzt werden.

Für das mitschneiden und die anschliessende Analyse des gesamten Netzwerkverkehrs auf einer Schnittstelle eignet sich die Anwendung Wireshark. Da Wireshark jedoch eine graphische Oberfläche besitzt, kann man es in der Regel nicht direkt auf Servern einsetzen. Um dennoch in den Genuss der vielfältigen, intuitiv anwendbaren Analysen zu kommen, kann Wireshark auch über einen SSH-Tunnel in der Kombination mit tcpdump eingesetzt werden:

$ ssh <user>@<host> sudo tcpdump -i <interface> -U -s0 -w - 'not port 22' | wireshark -k -i -

Um zu überprüfen, ob ein bestimmter UDP-Port auf einem Host geöffnet ist, lässt sich der Netzwerk-Scanner nmap einsetzen [1]. Der Test kann z.B. sinnvoll sein, um zu überprüfen, dass gewisse Firewall-Regeln greifen:

$ sudo nmap -p <port> -sU -P0 <host>

Ist der Port geöffnet, sollte die Ausgabe in etwa wie folgt aussehen:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:13 CET
Nmap scan report for 10.119.0.2
Host is up (0.000029s latency).
PORT      STATE         SERVICE
10000/udp open|filtered ndmp
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)

Die ist das Ergebnis im Fall eines gesperrten Ports:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-06 21:18 CET
Nmap scan report for 10.119.0.2
Host is up (0.013s latency).
PORT      STATE  SERVICE
10000/udp closed ndmp
MAC Address: 3A:11:DD:3F:7A:14 (Unknown)

Einzelnachweise

  1. http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/ blog.nielshorn.net
  2. http://adityo.blog.binusian.org/?p=787