Fachartikel

Einführung in das Monitoring mit Wireshark (2)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen.
Bei Mitschnitten des Netzwerkverkehrs mit Wireshark ist es wichtig, die entscheidenden Passagen zu identifizieren.
Verbesserung der Performance
Es gibt zwei Bereiche in denen sich die Wireshark-Performance bemerkbar macht: Bei der Analyse großer Capture-Dateien und bei Paketverlusten während der Paketaufnahme. Soll eine große Capture-Datei (beispielsweise größer 100 MByte) analysiert werden, kann Wireshark beim Laden, Filtern und der Ausführung bestimmter Aktionen sehr langsam werden. Um dies zu verhindern, bietet sich eine Reihe von Maßnahmen an, die jedoch zu Lasten des Komforts bei der Dekodierung gehen:

  • Deaktivieren der Coloring Rules: Dies steigert die Leistung deutlich. Gehen Sie hierfür zu "View / Colorize Packet List". Alle Coloring Rules können Sie hier löschen beziehungsweise das Coloring Rules-File umbenennen.
  • Deaktivieren der Netzwerk-Layer DNSLookups (Hostname) unter "View / Name Resolution" kann unter Umständen die Performance verbessern.
  • Unter macOS beschleunigt die Deaktivierung der Transport Layer Lookups unter "View / Name Resolution" den Ablauf.
  • Auch das Deaktivieren einiger Voreinstellungen (Präferenzen) kann den Speicherverbrauch deutlich reduzieren. Dabei ist jedoch darauf zu achten, dass einige diese Funktionen zur richtigen Erkennung der Pakete erforderlich sind, denn diese Pakete können vom System falsch interpretiert und daher nicht aufgezeichnet werden.
  • Mehr verfügbarer Arbeitsspeicher und eine schnellere CPU tragen außerdem zur Verbesserung der Performance von Wireshark bei.

Paketverluste beim Capture
Nachdem ein Capture-Prozess abgeschlossen ist, sollen die aufgezeichneten Daten angezeigt werden. Doch kann der Zähler in der Statusanzeige ergeben, dass bei diesem Prozess bestimmte Pakete verloren gingen. Was ist passiert? Nicht alle über das Netzwerk übermittelten Pakete konnten in der Capture-Datei gespeichert werden. Ursache: Der PC arbeitet zu langsam, um die ankommenden Paket ordnungsgemäß entgegenzunehmen. Aus diesem Grund wurden einige Pakete verworfen. Wireshark ist nicht für alle Betriebssysteme auf Geschwindigkeit optimiert. Daher sollten Sie nur solche Wireshark-Pakete installieren, die für das genutzte Betriebssystem freigegeben sind. In allen anderen Fällen sollten Sie zur Paketaufzeichnung ein anderes Packet-Capture-Programm (beispielsweise tcpdump oder WinDump) nutzen. Alle anderen auf dem Computer aktiven Programme sollten angehalten werden, um die Systemlast zu verringern. Hilft auch das nichts, bleibt nur die Beschaffung einer leistungsstärkeren Maschine.

Zur Reduzierung der Systemlast verzichten Sie auf die Funktion "Update list of packets in real time". Ein Erhöhen der Puffergröße unter Capture-Optionen kann unter Umständen ebenfalls helfen, abhängig vom Betriebssystem und der libpcap-Version. Auch die Einstellung der maximalen Paketgröße (MTU + 18) kann je nach Betriebssystem und libpcap-Version Wirkung zeigen. Die "read filters" sollten Sie nicht ohne die Option "-R" verwenden, da diese viel Verarbeitungszeit und viel Speicher benötigen.

Sollten Sie nicht an allen Paketen interessiert sein, kann ein Capture-Filter, der nur bestimmte Pakete selektiert, von Interesse sein und die Gesamtverarbeitungszeit reduzieren. Dabei verwirft der Capture-Filter alle uninteressanten Pakete und legt nur die interessanten Pakete in der Capture-Datei ab. Doch beanspruchen die "capture filters" auch viel Verarbeitungszeit. Das TMP-Verzeichnis schließlich verlagern Sie am besten auf eine RAM-Disk. Falls diese Tipps nicht helfen, muss möglicherweise das Gerät aufgerüstet werden. Die Größe des Speichers ist übrigens nicht wirklich entscheidend für die Capture-Funktion.

Keine hochpräzisen Zeitstempel
Wireshark erhält seine Zeitstempel von libpcap/WinPcap, die wiederum den Zeitstempel vom genutzten Paketaufzeichnungsmechanismus beziehen. Wireshark selbst erzeugen somit keine Zeitstempel. Die Funktion der Zeitstempel hängt vom jeweiligen Betriebssystem ab. Bei einigen UNIX-Varianten finden Sie den betreffenden Code im Netzwerktreiber, bei anderen UNIX-Varianten befindet sich dieser in höheren Schichten. Nutzt Windows das WinPcap-System, dann erzeugt der WinPcap-Treiber die Zeitstempel.

Bedenken Sie, dass es sich bei den Zeitstempeln in den Paketen um keine hochgenaue Angabe darüber handelt, wann das erste und das letzte Bit eines Pakets vom Netzwerkadapter empfangen wurde. Es entsteht automatisch eine Verzögerung zwischen der Ankunft des letzten Bit eines Pakets und dem Interrupt für das Paket und eine Verzögerung zwischen dem Beginn des Interrupt-Prozesses und dem Zeitpunkt, der als Zeitmarke im Paket verzeichnet wird. Die Auflösung des Zeitstempels hängt deshalb vom jeweiligen Taktgeber ab.

Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen


Seite 1 von 2 Nächste Seite >>
9.04.2018/dr/ln/Mathias Hein

Nachrichten

TeamViewer goes IoT [19.01.2018]

TeamViewer bringt TeamViewer IoT auf den Markt. Die Software kombiniert die Fernzugriffs- und Fernsteuerungsfunktionen von TeamViewer mit Monitoring-Funktionen. TeamViewer IoT unterstützt Raspbian, kann aber laut Hersteller problemlos auf andere Linux-Distributionen portiert werden. An der Unterstützung weiterer IoT-Plattformen würde bereits gearbeitet. [mehr]

Alles unter einem Dach [30.11.2017]

Von Hewlett Packard Enterprise kommt mit 'HPE OneSphere' eine Multi-Cloud-Management-Lösung für Public Cloud, Private Cloud und Software-definierte Infrastrukturen. Das SaaS-Portal gibt Kunden einen einheitlichen Zugang zu einem Pool von IT-Ressourcen, der sowohl externe Cloud-Plattformen als auch die eigene, lokal betriebene IT-Umgebung umfasst. [mehr]

Tipps & Tools

Download der Woche: Dipiscan [3.04.2018]

Wer sich unter welcher IP-Adresse im Netzwerk verbirgt, lässt sich am schnellsten mit einem IP-Scanner herausfinden. Mit 'Dipiscan' steht ein funktionsreicher und praktischer Vertreter dieser Art zum Download bereit. Nach einem kurzen Suchvorgang in einer frei wählbaren IP-Range zeigt das Werkzeug neben der Client-IP-Adresse weitere Informationen wie den NetBIOS-Namen, den FQDN sowie die MAC-Adresse an. Weiterhin sind im Tool Funktionen wie Traceroute und eine NETBIOS-/DNS-Namenssuche integriert. [mehr]

iFrame in PRTG-MAP einbinden [25.03.2018]

Bei vielen Nutzern von PRTG ist es üblich, dass sich der Admin auf einem eigens dafür abgestellten Display eine PRTG Map mit einer Übersicht zu den IT-Systemen anzeigen lässt. Des Öfteren besteht dabei auch der Bedarf, über ein iFrame zusätzliche Informationen von einer externen URL einzublenden. Die anzuzeigende Webseite soll sich dabei dynamisch an die Größe des iFrame anpassen. Mit wenigen Schritten lässt sich solch ein Szenario recht leicht realisieren. [mehr]

Buchbesprechung

Anzeigen