Spurensicherung im Netzwerk
LAN-Monitoring: Spiegelports von Switches nutzen
Einen Switch so einzustellen, dass er den Verkehr eines Netzwerkgeräts zur Analyse an einen anderen Port kopiert, wird oft als triviale Übung abgetan. Ein paar Dinge muss man trotzdem beachten, damit man keinen Mist misst.
Bei Diagnosen von Netzwerkproblemen wie Verbindungsabbrüchen, langsamen Übertragungen, Störungen beim Verbindungsaufbau und auch beim Optimieren der Netzwerkkommunikation gibt es einen ganz entscheidenden Faktor, der sich auf den gesamten Vorgang auswirkt: die Präzision der Messung.
Denn wie Sie vielleicht noch aus dem Physikunterricht wissen: wer misst, misst (gelegentlich) Mist. Und das trifft auch auf Netzwerkmessungen zu. Jeder Versuch, ein Problem messtechnisch zu erfassen, ändert zwangsläufig die Ausgangslage im Netzwerk, weil das Messgerät Teil des Netzwerks wird und es dadurch beeinflusst. Das ist nicht zu ändern, und deshalb sollte man sich immer im Klaren darüber sein, wie stark sich die Änderung auf die Präzision der Messdaten auswirkt. Andernfalls bewertet man die Messdaten falsch, tut sich schwer mit der Analyse oder scheitert sogar. Man kann die Situation grob mit einer Tatortsicherung bei einem Verbrechen vergleichen: Wenn die Spurensicherung verwackelte Fotos schießt oder gar den Deckel auf dem Objektiv vergisst, wird die anschließende Arbeit der Ermittler beeinträchtigt.
Haiangriff!
Natürlich verwenden Netzwerkanalysten anstatt Fotos meist das Open-Source-Werkzeug Wireshark, um Netzwerkmitschnitte zu analysieren. Wireshark kann zudem die Messdaten selbst erfassen und für die spätere Auswertung in Dateien abspeichern. Bei genauer Betrachtung muss man allerdings sagen, dass Wireshark gar nicht selbst aufzeichnet, sondern die Messung an das Kommandozeilen-Werkzeug dumpcap
delegiert (so sieht ein Befehlsmuster aus: dumpcap -i <Interface-ID> -w Dateiname.pcapng
). Dessen auf die Platte geschriebene Daten liest Wireshark kontinuierlich ein und stellt sie dar.