Fachartikel

Einführung in das Monitoring mit Wireshark (2)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen.
Bei Mitschnitten des Netzwerkverkehrs mit Wireshark ist es wichtig, die entscheidenden Passagen zu identifizieren.
Verbesserung der Performance
Es gibt zwei Bereiche in denen sich die Wireshark-Performance bemerkbar macht: Bei der Analyse großer Capture-Dateien und bei Paketverlusten während der Paketaufnahme. Soll eine große Capture-Datei (beispielsweise größer 100 MByte) analysiert werden, kann Wireshark beim Laden, Filtern und der Ausführung bestimmter Aktionen sehr langsam werden. Um dies zu verhindern, bietet sich eine Reihe von Maßnahmen an, die jedoch zu Lasten des Komforts bei der Dekodierung gehen:

  • Deaktivieren der Coloring Rules: Dies steigert die Leistung deutlich. Gehen Sie hierfür zu "View / Colorize Packet List". Alle Coloring Rules können Sie hier löschen beziehungsweise das Coloring Rules-File umbenennen.
  • Deaktivieren der Netzwerk-Layer DNSLookups (Hostname) unter "View / Name Resolution" kann unter Umständen die Performance verbessern.
  • Unter macOS beschleunigt die Deaktivierung der Transport Layer Lookups unter "View / Name Resolution" den Ablauf.
  • Auch das Deaktivieren einiger Voreinstellungen (Präferenzen) kann den Speicherverbrauch deutlich reduzieren. Dabei ist jedoch darauf zu achten, dass einige diese Funktionen zur richtigen Erkennung der Pakete erforderlich sind, denn diese Pakete können vom System falsch interpretiert und daher nicht aufgezeichnet werden.
  • Mehr verfügbarer Arbeitsspeicher und eine schnellere CPU tragen außerdem zur Verbesserung der Performance von Wireshark bei.

Paketverluste beim Capture
Nachdem ein Capture-Prozess abgeschlossen ist, sollen die aufgezeichneten Daten angezeigt werden. Doch kann der Zähler in der Statusanzeige ergeben, dass bei diesem Prozess bestimmte Pakete verloren gingen. Was ist passiert? Nicht alle über das Netzwerk übermittelten Pakete konnten in der Capture-Datei gespeichert werden. Ursache: Der PC arbeitet zu langsam, um die ankommenden Paket ordnungsgemäß entgegenzunehmen. Aus diesem Grund wurden einige Pakete verworfen. Wireshark ist nicht für alle Betriebssysteme auf Geschwindigkeit optimiert. Daher sollten Sie nur solche Wireshark-Pakete installieren, die für das genutzte Betriebssystem freigegeben sind. In allen anderen Fällen sollten Sie zur Paketaufzeichnung ein anderes Packet-Capture-Programm (beispielsweise tcpdump oder WinDump) nutzen. Alle anderen auf dem Computer aktiven Programme sollten angehalten werden, um die Systemlast zu verringern. Hilft auch das nichts, bleibt nur die Beschaffung einer leistungsstärkeren Maschine.

Zur Reduzierung der Systemlast verzichten Sie auf die Funktion "Update list of packets in real time". Ein Erhöhen der Puffergröße unter Capture-Optionen kann unter Umständen ebenfalls helfen, abhängig vom Betriebssystem und der libpcap-Version. Auch die Einstellung der maximalen Paketgröße (MTU + 18) kann je nach Betriebssystem und libpcap-Version Wirkung zeigen. Die "read filters" sollten Sie nicht ohne die Option "-R" verwenden, da diese viel Verarbeitungszeit und viel Speicher benötigen.

Sollten Sie nicht an allen Paketen interessiert sein, kann ein Capture-Filter, der nur bestimmte Pakete selektiert, von Interesse sein und die Gesamtverarbeitungszeit reduzieren. Dabei verwirft der Capture-Filter alle uninteressanten Pakete und legt nur die interessanten Pakete in der Capture-Datei ab. Doch beanspruchen die "capture filters" auch viel Verarbeitungszeit. Das TMP-Verzeichnis schließlich verlagern Sie am besten auf eine RAM-Disk. Falls diese Tipps nicht helfen, muss möglicherweise das Gerät aufgerüstet werden. Die Größe des Speichers ist übrigens nicht wirklich entscheidend für die Capture-Funktion.

Keine hochpräzisen Zeitstempel
Wireshark erhält seine Zeitstempel von libpcap/WinPcap, die wiederum den Zeitstempel vom genutzten Paketaufzeichnungsmechanismus beziehen. Wireshark selbst erzeugen somit keine Zeitstempel. Die Funktion der Zeitstempel hängt vom jeweiligen Betriebssystem ab. Bei einigen UNIX-Varianten finden Sie den betreffenden Code im Netzwerktreiber, bei anderen UNIX-Varianten befindet sich dieser in höheren Schichten. Nutzt Windows das WinPcap-System, dann erzeugt der WinPcap-Treiber die Zeitstempel.

Bedenken Sie, dass es sich bei den Zeitstempeln in den Paketen um keine hochgenaue Angabe darüber handelt, wann das erste und das letzte Bit eines Pakets vom Netzwerkadapter empfangen wurde. Es entsteht automatisch eine Verzögerung zwischen der Ankunft des letzten Bit eines Pakets und dem Interrupt für das Paket und eine Verzögerung zwischen dem Beginn des Interrupt-Prozesses und dem Zeitpunkt, der als Zeitmarke im Paket verzeichnet wird. Die Auflösung des Zeitstempels hängt deshalb vom jeweiligen Taktgeber ab.

Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen


Seite 1 von 2 Nächste Seite >>
9.04.2018/dr/ln/Mathias Hein

Nachrichten

Mobiles Drucken [29.05.2018]

ThinPrint bringt sein neues Produkt 'ThinPrint Mobile Print' auf den Markt. Mit der Software können Unternehmen iOS- und Android-Geräte in ihre bestehende Druckinfrastruktur einbinden und Mitarbeiter alle vorhandenen Netzwerkdrucker nutzen. Nutzerberechtigungen werden automatisch aus dem Active Directory oder dem Druckserver übernommen und können bei Bedarf für den mobilen Einsatz erweitert oder eingeschränkt werden. [mehr]

Bessere Einblicke in große Netze [24.05.2018]

SolarWinds kündigt Aktualisierungen für sein Portfolio an Netzwerkmanagement-Produkten an. Diese können laut Hersteller nun bis zu viermal größere Netzwerke unterstützen als die vorherige Generation. IT-Experten sollen so von einer deutlich flexibleren Skalierbarkeit zur Unterstützung großer Rechenzentrumsnetzwerke mit wachsenden Workloads profitieren, aber auch von flexiblen Möglichkeiten der horizontalen Skalierung für komplexe verteilte Netzwerke. [mehr]

TeamViewer goes IoT [19.01.2018]

Tipps & Tools

Abhängigkeiten beim Monitoring setzen [12.07.2018]

Wer mit PRTG den Firmenhauptsitz und die angebundenen Niederlassungen vernetzt, dürfte dies in der Regel mit einem Site-to-Site-VPN tun. Fällt nun ein Knotenpunkt, beispielsweise die Firewall, in der Niederlassung aus, wechseln alle Sensoren des Standortes in den Status "Fehler" und erscheinen in Rot. Um hier für mehr Übersicht zu sorgen, gibt es in so einem Fall die Möglichkeit, alle abhängigen Geräte und Sensoren zu pausieren und nur den betroffenen Sensor in den Fehlerstatus zu versetzen. [mehr]

AIX-Server mit PRTG monitoren [1.07.2018]

Wer Linux-Server mit AIX betreibt, kann diese Server zum Monitoring nicht mit dem nativen SSH Disk Free Sensor von PRTG abfragen. Gerade Details über den Speicherplatz der bereitgestellten Volumes sind in der Regel aber sehr hilfreich. Erfreulicherweise gibt es eine andere Möglichkeit, diese Werte automatisiert auszulesen und in PRTG aufzubereiten. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen