Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerkanalyse

Tools für die Fehlersuche im Netzwerk

Hardware: Kabeltester / Multimeter : Psiber Pinger Plus : Fluke OMNIScanner 2 : Fluke LanMeter : OTDR : Spirent SmartBits

Software: tcpdump : Network General Sniffer : Wireshark : Packetyzer : EtherPeek : MRTG : Cacti : NTOP : Etherape : SNMPView : SmokePing : Snort : PingPlotter

Welches Tool soll ich einsetzen?

Spätestens hier scheiden sich die Geister. Laptop oder dediziertes Meßgerät? Linux oder Windows? Freeware oder der Gegenwert eines Kleinwagens aus Zuffenhausen?

Grundsätzlich gilt, das es kein Tool für alle Problemsituationen gibt. Jeder Anbieter hat bestimmte Stärken und Schwächen. Diese gilt es zu finden und die optimalen Tools für das aktuelle Problem auszuwählen. Nicht zuletzt sollte der Netzwerkadministrator natürlich mit „seinen“ Tools vertraut sein. Wenn der Administrator bei der Fehlersuche erst anfängt den Umgang mit dem Protokollanalyser zu ergründen ist das nicht besonders hilfreich.

Hardware

Für Messungen auf den unteren Layern ist spezielle Hardware erforderlich. Natürlich benötigt nicht jeder Netzwerktechniker ein OTDR, aber ein Kabeltester oder der Pinger können viele Fehler aufdecken.

Kabeltester / Multimeter

Der einfachste Kabeltester ist ein Durchgangsprüfer. Mit einem Loopstecker am anderen Ende des Kabels können sehr einfach die einzelnen Adernpaare testen. Oft ist diese Messung völlig ausreichend.

Für die Suche nach CRC-Fehler oder sporadischen Abbrüchen ist allerdings ein spezialisiertes Kabelmeßgerät nützlich. Hier gibt es von vielen Herstellern Produkte: Fluke, Acterna, etc.

Tip: Bei Kabelmessungen mit einem TDR sollte immer von beiden Enden des Kabels gemessen werden. Eine Kontaktproblem im Stecker des entfernten Endes kann man mit einem TDR nicht vom Ende des Kabels unterscheiden. Wird das Kabel nun für die zweite Messung umgedreht, wird das Problem sofort sichtbar.

Psiber Pinger Plus

Der Pinger ist ein kleines Meßgerät zum Test der Basisfunktionen in Ethernet-Netzwerken. Er kann die aktuellen Einstellungen eines Ethernet Port ermitteln (Speed, Duplex), per DHCP eine IP-Adresse beziehen und andere Host mittels ICMP-Ping testen.

Pinger

Psiber Pinger Plus

Der Pinger ermöglicht ein schnelles Prüfen der Funktion von Netzwerkports und hilft Fehler wie den Duplex Mismatch zu vermeiden. Lesen Sie hierzu auch meinen Artikel Psiber Pinger Plus im Praxistest.

Fluke OMNIScanner 2

Der OmniScanner ist der Nachfolger des bewährten PentaScanners der Firma Microtest die von Fluke übernommen wurde. Das Gerät kann qualifizierte Messungen an Kupferkabeln und Lichtwellenleitern (mit Adaptern) durchführen. Ähnliche Geräte gibt es natürlich von fast allen renomierten Anbietern.

Bild vom Omniscanner in gelb

Fluke OMNIScanner

Bei allen Meßgeräten sollte man von Zeit zu Zeit einige Testmessungen durchführen. So kommt man nicht aus der Übung und stellt sicher das alle Zubehörteile vorhanden und die Akkus noch brauchbar sind.

Fluke LanMeter

Praktisches Gerät zur Fehlersuche.im LAN
+ Kabeltests
+ Ethernet (10/100) und Token Ring
+ TCP/IP, IPX, NetBIOS, Vines
+ Netzwerkstatistiken (Top Talker, etc.)
+ SNMP-Zugriff auf Router und Switche (Realtime Interfaceparameter)
+ Webinterface
+ PC-Interface über die serielle Schnittstelle zur Datenübertragung auf den PC

- Preis (ca. 20.000 Euro)

Der Nachfolger (OptiView) hat mich lange nicht so begeistert und kostet noch mehr.

Lanmeter, etwa 20x30cm mit LCD

Fluke LanMeter

Das LanMeter wurde leider nur bis Dezember 2002 produziert. Also bei einem „Schnäppchen“ schnell zugreifen.

Optical Time Domain Reflectometer (OTDR)

Ein OTDR ist ein spezielles Messgerät für Lichtwellenleiter. Das Gerät für eine optische Rückstreuungsmessung durch. Dazu wird ein Lichtimpuls in die Faser eingespeist und die Reflektionen gemessen und grafisch dargestellt.

OTDR von Fluke

Fluke OptiFiber OTDR

Die Geräte werden von einigen Herstellern angeboten und recht kostenintensiv. Die korrekte Handhabung eines OTDR verlangt einige Erfahrung. Wer nur selten ein OTDR benötigt, kann das Gerät von vielen Anbietern auch ausleihen.

SmartBits von Spirent Communications

Unter dem Markennamen SmartBits vertreibt die Firma Spirent Communications eine Reihe von Generatoren und Protokollanalysern für Test an Netzkomponenten.

Bild vom Smartbits SMB 6000B

Spirent SmartBits SMB6000B

Der SMB-6000B vereint bis zu 96 Fast Ethernet Ports, 24 Gigabit Ethernet Ports, 6 10GbE Ports und 24 Fibre Channel Ports in einem 19-Zoll-Chassis. Dazu gibt es meherere Softwarepakete wie SmartApplications, SmartFlow und SmartVoIPQoS für unterschiedliche Anwendungsfelder.

Auswahl der Netzwerkkarte

Prinzipiell eignet sich eigentlich jede Ethernetkarte zum sniffern. Der Sniffer von Network General kann mit einigen Karten (z.B. Intel XIRCOM CBE2) auch defekte Frames aufzeichnen. Auch Wireshark soll mit entsprechenden Kartentreibern in der Lage sein defekte Frames aufzuzeichnen. Getestet habe ich das noch nicht.

Software

Bei der Auswahl von Betriebssystem und Software hat jeder seine persönlichen Vorlieben. Tools wie Wireshark und MRTG sollte aber jeder Netzwerker kennen.

tcpdump

Der Urvater aller Packetsniffer. Schnelles, kleines Tools ohne grafischen Ballast. Tcpdump eignet sich sehr gut für die Datenerfassung vor Ort. Mit WinDump steht auch eine Version für Windows zur Verfügung.

Network General Sniffer

Der Klassiker unter Windows.

+ Decodes
+ Matrixview und Visual Filter
+ Erkenung von Layer 2-Fehlern
+ große Verbreitung

- hoher Preis; Auch Support und Updates möchte Network General bezahlt haben.
- schlechte Unterstützung von Dateiformaten
- kennt keine TCP-Streams

Wireshark

Der freie Sniffer und wirklich eine echte Alternative zu kommerziellen Produkten. Wireshark läuft unter Linux, Mac OS X, BeOS und Windows.

+ kostenlos, Open Source
+ TCP-Streams und andere Tools
+ EBCDIC-Unterstützung
+ leistungsstarke Displayfilter
+ einige sehr gute Decodes (die der Network General Sniffer nicht hat)
+ kann fast jedes Dateiformat lesen
+ Kommandozeilenversion und Tools zum Konvertieren und Verbinden von Tracefiles

- unterschiedliche Syntax für Capture- und Displayfilter

Wireshark Screenshot

Wireshark

Packetyzer

Packetyzer ist ein weiterer Sniffer mit einer grafischen Oberfläche. Mehrere Statistiken ermöglichem dem Administrator einen schnellen Überblick über sein Netzwerk zu erhalten. Packetyzer kann den Verlauf von TCP-Session grafisch darstellen. Dabei werden der zeitliche Verlauf der TCP-Segmente und die Flags angezeigt.

WildPackets EtherPeek

Die Firma Wildpackets vertreibt eine Reihe Tools zur Netzanalyse unter Windows.Die Demoversionen können kostenlos getestet werden.

Multi Router Traffic Grapher (MRTG)

MRTG greift via SNMP auf IP-Hosts zu und speichert die Werte in einer Datenbank. Aus dieser Datenbasis wird dann eine Statistik für das letzte Jahr erstellt.

MRTG Screenshot

Beispiel einer Jahresübersicht in MRTG

So können beispielsweise Auslastung, Fehlerraten, Broadcastanteile oder auch Temperaturen langfristig beobachten. Die Daten für MRTG können auch von einem Script geliefert werden. Das Target muss dadurch nicht unbedingt SNMP sprechen. Ein Baselining mit MRTG und SmokePing sollte in keinem Netzwerk fehlen.

+ kostenlos
+ Alarmierung bei Schwellwerten
+ läuft unter Linux und Windows (Zugriff mit Browser)
+ Grafiken könner sehr gut in eigene Webseiten eingebunden werden

- Konfiguartionsaufwand

Cacti

Cacti ist eine Komplettlösung für die Aufzeichnung und grafische Darstellung von Daten. Als Datenquellen nutzt Cacti SNMP und eigene Scripte. Damit lassen sich eigentlich alle verfügbaren Daten in Cacti erfassen. Cacti basiert auf RRDTool und verfügt über eine eigene Benutzerverwaltung.

Es gibt eine Reihe von fertigen Templates für SNMP-Hosts, Cisco-Router und Linux-Maschinen. Dadurch kann der Admin einfach Werte wie CPU- Speicherauslastung, Interfaceauslastung, Ping-Laufzeiten oder TCP-Connections erfassen. Der Cacti-Server kann unter Linux und Windows betrieben werden.

+ kostenlos, Open Source
+ Konfiguration und Auswertung über Webinterface
+ geringe Einarbeitungszeit

Cacti Screenshot

Cacti Preview View

NTOP

NTOP ist ein Tool zur Beobachtung und statistischen Auswertung des Netzwerkverkehrs. Interessant ist das Einlesen und Auswerten von gespeicherten Tracefiles mit der Option „-f“. Dann liest NTOP keine Daten von der Netzwerkkarte, sondern erzeugt lediglich Auswertungen für den vorhanden Trace. NTOP arbeitet auch mit NetFlow von Cisco zusammen. Der Zugriff auf NTOP erfolgt über einen Webbroser.

NTOP ist auch in Kombination mit Hardware als nBox erhältlich.

Etherape

Etherape kann seine Daten sowohl direkt vom Netz als auch aus einem gespeicherten Trace beziehen. Aus diesen Daten erstellt es eine Reihe von Auswertungen zu Kommunikationsbeziehungen und Protokollverteilung..

Etherape Screenshot

Etherape

Etherape befindet sich noch in der Entwicklung und läuft momentan nur unter GNOME.

SmokePing

SmokePing stammt vom gleichen Autor wie MRTG. Danke Tobi. SmokePing ist spezialisiert auf die Messung der Round-Trip-Time. Es gibt Probes für eine Reihe von Protokollen (ICMP, TCP, HTTP, etc.). Die Zeiten werden in einer Datenbank festgehalten und können über ein Browserinterface visualisiert werden.

SmokePing Screenshot

SmokePing im Einsatz

SmokePing ist wie MRTG ein Tool zum Baselining eines Netzwerkes. In Problemfällen kann man mit diesen Tools sehr schnell Veränderungen und deren Auslöser erkennen.

SNMPView

SNMPView ist eine kostenlose Windows-Software zur Abfrage von SNMP-Agenten. Über Konfigurationsdateien können die Hostnamen und benötigten OIDs festgelegt werden. Für die Darstellung verfügt SNMPView über einen eigenen Webserver. Die Darstellung kann an die eigenen Anforderungen angepasst werden.

Snort

Snort ist kein Sniffer im eigentlichen Sinn. Snort ist ein Intrusion Detection Sytstem (IDS), hat aber einige interessante Funktionen zur Netzanalyse. So kann z.B. man einen Session Breakout erzeugen (z.B. eine Telnet-Session gut lesbar in eine Datei protokollieren) oder an Hand von Signaturen bestimmte Ereignisse aufspüren.

PingPlotter

Mit PingPlotter kann der Verlauf eines Traceroute grafisch dargestellt werden. PingPlotter visualisiert für jeden Hop die Laufzeiten und Verlustraten. PingPlotter läuft unter Windows.

Fragen zur Tools können Sie im Forum Netzwerktechnik diskutieren. Dort können Sie auch Berichte zu neuen Tools posten.

 

<-- Wie kommen die Daten zum Sniffer? Inhalt Auswerten und Filtern -->

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012