Beinahe enzyklopädisch behandelt unser Schwerpunkt-Artikel über IPSEC verschlüsselte Verbindungen zwischen Linux, Windows, BSD, Solaris, Cisco- sowie ... (mehr)

Gepuffert

Das Wireshark-Tool »tshark« bietet einen Ringpuffer, mit dem ein solches Setup besonders einfach ist. Sie aktivieren ihn mit der Option »-b« :

tshark -i eth0 -b filesize:10240 -b files:U
1000 -w if-eth0

Damit überwacht Tshark die Netzwerkschnittstelle »eth0« und legt bis zu 1000 Dateien mit je etwa 10 MByte an, die als Dateinamen einen Zeitstempel der Form YYYYMMDDHHMMSS erhalten:

if-eth0_00001_20090920041232
if-eth0_00002_20090920041252
if-eth0_00003_20090920041258

Mit »mergecap« lassen sich diese Dateien zusammenfügen, für den Fall, dass interessanter Traffic sich einmal über mehrere Dateien erstrecken sollte. Ein Vorteil des Ringpuffers liegt darin, dass man keine Dateinamen rotieren und sich mit der Begrenzung der Dateigrößen nicht darum kümmern muss, dass die Platte irgendwann voll ist.

Alternativ können Sie die Netzwerkdaten auch mit Tcpdump aufnehmen. Neuere Versionen bieten die Option »-C« , die nach einer festgelegten Anzahl von Bytes eine neue Datei anfangen. Sie lässt sich mit »-W« kombinieren, was die Anzahl der Dateien begrenzt und beim Erreichen des Maximums die ältesten Dateien überschreibt.

Selektiv

Um Netzwerkproblemen auf die Spur zu kommen, müssen Sie nicht unbedingt den ganzen Traffic mitschneiden. So genügt es bei vielen Security-Problemen, den DNS-Verkehr zu analysieren (TCP- und UDP-Ports 53). Sie können beispielsweise auch alle ausgehenden HTTP-Requests analysieren und auf die Antworten verzichten, die naturgemäß viel größer ausfallen. Wie die Überwachung mit einer Videokamera verhindert das Mitschneiden des Netzwerkverkehrs keine Einbrüche, aber es kann die Aufklärung im Nachhinein erleichtern und beispielsweise Aufschlüsse darüber geben, welche Server im Einzelnen betroffen sind. (ofr)

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Man-in-the-Middle-Attacken aufspüren

Man-in-the-Middle-Attacken stellen für Angreifer einen wirkungsvollen Weg dar, um in Unternehmensnetzwerken Datenpakete abzufangen und dann für unlautere Zwecke zu nutzen. Sogar das Ändern von Paketen ist hierüber möglich. Es gibt aber Tools wie das kostenlose WireShark, die beim Erkennen dieser Art von Attacken helfen. Unser Workshop zeigt, wie Sie dabei am besten vorgehen.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023