Fachartikel

Einführung in das Monitoring mit Wireshark (2)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen.
Bei Mitschnitten des Netzwerkverkehrs mit Wireshark ist es wichtig, die entscheidenden Passagen zu identifizieren.
Verbesserung der Performance
Es gibt zwei Bereiche in denen sich die Wireshark-Performance bemerkbar macht: Bei der Analyse großer Capture-Dateien und bei Paketverlusten während der Paketaufnahme. Soll eine große Capture-Datei (beispielsweise größer 100 MByte) analysiert werden, kann Wireshark beim Laden, Filtern und der Ausführung bestimmter Aktionen sehr langsam werden. Um dies zu verhindern, bietet sich eine Reihe von Maßnahmen an, die jedoch zu Lasten des Komforts bei der Dekodierung gehen:

  • Deaktivieren der Coloring Rules: Dies steigert die Leistung deutlich. Gehen Sie hierfür zu "View / Colorize Packet List". Alle Coloring Rules können Sie hier löschen beziehungsweise das Coloring Rules-File umbenennen.
  • Deaktivieren der Netzwerk-Layer DNSLookups (Hostname) unter "View / Name Resolution" kann unter Umständen die Performance verbessern.
  • Unter macOS beschleunigt die Deaktivierung der Transport Layer Lookups unter "View / Name Resolution" den Ablauf.
  • Auch das Deaktivieren einiger Voreinstellungen (Präferenzen) kann den Speicherverbrauch deutlich reduzieren. Dabei ist jedoch darauf zu achten, dass einige diese Funktionen zur richtigen Erkennung der Pakete erforderlich sind, denn diese Pakete können vom System falsch interpretiert und daher nicht aufgezeichnet werden.
  • Mehr verfügbarer Arbeitsspeicher und eine schnellere CPU tragen außerdem zur Verbesserung der Performance von Wireshark bei.

Paketverluste beim Capture
Nachdem ein Capture-Prozess abgeschlossen ist, sollen die aufgezeichneten Daten angezeigt werden. Doch kann der Zähler in der Statusanzeige ergeben, dass bei diesem Prozess bestimmte Pakete verloren gingen. Was ist passiert? Nicht alle über das Netzwerk übermittelten Pakete konnten in der Capture-Datei gespeichert werden. Ursache: Der PC arbeitet zu langsam, um die ankommenden Paket ordnungsgemäß entgegenzunehmen. Aus diesem Grund wurden einige Pakete verworfen. Wireshark ist nicht für alle Betriebssysteme auf Geschwindigkeit optimiert. Daher sollten Sie nur solche Wireshark-Pakete installieren, die für das genutzte Betriebssystem freigegeben sind. In allen anderen Fällen sollten Sie zur Paketaufzeichnung ein anderes Packet-Capture-Programm (beispielsweise tcpdump oder WinDump) nutzen. Alle anderen auf dem Computer aktiven Programme sollten angehalten werden, um die Systemlast zu verringern. Hilft auch das nichts, bleibt nur die Beschaffung einer leistungsstärkeren Maschine.

Zur Reduzierung der Systemlast verzichten Sie auf die Funktion "Update list of packets in real time". Ein Erhöhen der Puffergröße unter Capture-Optionen kann unter Umständen ebenfalls helfen, abhängig vom Betriebssystem und der libpcap-Version. Auch die Einstellung der maximalen Paketgröße (MTU + 18) kann je nach Betriebssystem und libpcap-Version Wirkung zeigen. Die "read filters" sollten Sie nicht ohne die Option "-R" verwenden, da diese viel Verarbeitungszeit und viel Speicher benötigen.

Sollten Sie nicht an allen Paketen interessiert sein, kann ein Capture-Filter, der nur bestimmte Pakete selektiert, von Interesse sein und die Gesamtverarbeitungszeit reduzieren. Dabei verwirft der Capture-Filter alle uninteressanten Pakete und legt nur die interessanten Pakete in der Capture-Datei ab. Doch beanspruchen die "capture filters" auch viel Verarbeitungszeit. Das TMP-Verzeichnis schließlich verlagern Sie am besten auf eine RAM-Disk. Falls diese Tipps nicht helfen, muss möglicherweise das Gerät aufgerüstet werden. Die Größe des Speichers ist übrigens nicht wirklich entscheidend für die Capture-Funktion.

Keine hochpräzisen Zeitstempel
Wireshark erhält seine Zeitstempel von libpcap/WinPcap, die wiederum den Zeitstempel vom genutzten Paketaufzeichnungsmechanismus beziehen. Wireshark selbst erzeugen somit keine Zeitstempel. Die Funktion der Zeitstempel hängt vom jeweiligen Betriebssystem ab. Bei einigen UNIX-Varianten finden Sie den betreffenden Code im Netzwerktreiber, bei anderen UNIX-Varianten befindet sich dieser in höheren Schichten. Nutzt Windows das WinPcap-System, dann erzeugt der WinPcap-Treiber die Zeitstempel.

Bedenken Sie, dass es sich bei den Zeitstempeln in den Paketen um keine hochgenaue Angabe darüber handelt, wann das erste und das letzte Bit eines Pakets vom Netzwerkadapter empfangen wurde. Es entsteht automatisch eine Verzögerung zwischen der Ankunft des letzten Bit eines Pakets und dem Interrupt für das Paket und eine Verzögerung zwischen dem Beginn des Interrupt-Prozesses und dem Zeitpunkt, der als Zeitmarke im Paket verzeichnet wird. Die Auflösung des Zeitstempels hängt deshalb vom jeweiligen Taktgeber ab.

Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen


Seite 1 von 2 Nächste Seite >>
9.04.2018/dr/ln/Mathias Hein

Nachrichten

Netzwerkfehler schnell auffinden [22.06.2020]

Allegro Packets erweitert seine Produktfamilie der Network Multimeter für die Fehlersuche und Netzwerkanalyse mit den Modellen "1330", "3300" und "5300". Die x300-Serie verspricht hohe Leistung, die beim Allegro 5300 eine Analyserate von bis zu 100 GBit/s ermöglichen sollen. [mehr]

Kleiner WLAN-Administrator [9.04.2020]

D-Link bringt den "Nuclias Connect Hub DNH-100" auf den Markt. Der Netzwerk-Controller ist mit der mandantenfähigen Nuclias-Connect-Software ausgestattet. Mit Hilfe des rund 500 Gramm leichten DNH-100 lassen sich kleine bis mittlere WLAN-Umgebungen zentral administrieren. [mehr]

Besser im Blick [18.10.2019]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen