Datenpakete sind, das liegt in der Natur der Dinge, unsichtbar, komplex und nicht für die Bearbeitung durch Menschen gemacht. Daran sollte man zumindest am Anfang denken, denn ein Protokoll-Analyzer ist auf den ersten Blick nicht gerade einladend. Direkt nach dem Start der Software begrüßen den Anwender ein leerer Bildschirm und ein paar Tachoskalen, von einem Fenster mit eingeblendeter Werbung einmal abgesehen.
Die Tachos sind in einem größeren Netzwerk ein wichtiger Indikator für den generellen Zustand. Sie zeigen Auslastung, Pakete pro Sekunde und eine Fehlerübersicht. Bei einem sehr kleinen Netz oder einem einzelnen PC passiert auf den Skalen wenig. Darum geht es gleich mit dem Aufzeichnen von Paketen los, damit der Analyzer auch etwas zu analysieren bekommt. Dafür wählt man im Menüpunkt „Capture“ den Eintrag „Start Capture“ aus. Klickt man im folgenden Fenster auf „OK“, geht bereits der Capture-Bildschirm auf.
Doch das Fenster ist es wert, etwas genauer betrachtet zu werden. Neben einem Namen für den Capture-Vorgang kann man damit auch weitere, nicht unwichtige Parameter beeinflussen. So lässt sich hier eine Obergrenze für die Größe der Capture-Datei und, ebenfalls sehr wichtig, ein Limit pro Paket einstellen. Oft sind bei der Analyse nur die Header-Informationen in den ersten 128 Bits interessant. Die folgenden tatsächlichen Daten müssen nicht aufgezeichnet werden. Das hält die Capture-Datei klein und erleichtert das spätere Suchen innerhalb der Aufzeichnung.
Ebenfalls wählbar: der genutzte Netzwerkadapter. Da Omnipeek Personal nur einen Adapter unterstützt, muss man sich entscheiden. Prinzipiell gehen alle heute üblichen Netzwerkkarten und On-Chip-Netzwerkadapter. Allerdings schränkt Wildpackets die WLAN-Karten deutlich ein. Der notwendige Wildpackets-Treiber unterstützt nur Atheros-Chips und den aktuellen Centrino-3945-Chipsatz von Intel. Man kann auch mit einem nicht unterstützten WLAN-Adapter Pakete mitschneiden, dann allerdings ohne Zugriff auf spezielle WLAN-Funktionen wie Management- oder Beacon-Frames. Kommt der Treiber mit dem eingebauten WLAN-Adapter zurecht, lassen sich auch WEP- und WPA-Daten im Fenster eintragen, dann kann Omnipeek Personal die Kommunikation im Klartext mitschneiden.
Wichtig, wenn man bereits mit dem Analyzer umgehen kann, ist der Start- und Stop-Trigger. Dann beginnt und endet die Aufzeichnung beim Eintreten von bestimmten, vorher definierten Ereignissen in Form von Filtern. Omnipeek liefert eine ganze Reihe von Filtern mit, erlaubt aber auch das Zusammenbauen sehr komplexer Strukturen.
Sind die Einstellungen abgeschlossen, öffnet sich das eigentliche, noch leere Capture-Fenster. Oben rechts leuchtet der grüne Start-Button, ein Mausklick genügt und das Fenster beginnt sich mit aufgezeichneten Paketen zu füllen. Wer ohne Filter arbeitet, schneidet alles mit, was die Netzwerkkarte an seinem PC erwischen kann. In einem geswitchten Netzwerk sind das in der Regel nur die Pakete, die am eigenen Switchport anliegen, sowie alle Broadcasts. Wer einen Hub einsetzt, sieht jedes Paket, das an den Ports des Hubs auftaucht.
Professionelle Switches besitzen oft eine Funktion, mit der man den Datenverkehr von Ports auf einen festgelegten Anschluss kopieren kann. Laufen E-Mail-Clients während der Analyse, die automatisch Mailboxen abfragen, kann man jetzt schon sehr schön Benutzername und Passwort sehen. Omnipeek markiert die aufgezeichneten Protokolle farblich, so dass man leichter zwischen POP3 für E-Mail und DNS oder HTTP unterscheiden kann.
Neueste Kommentare
Noch keine Kommentare zu Fehlersuche und Hackerabwehr: Netzwerkanalyse für Einsteiger
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.