Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Zeitstempel bei Ethereal

geschrieben am 23.05.2006 um 14:03 von Andi (Gast)

Hallo,

Ich habe das Problem, dass die Zeitstempel, die Ethereal beim Scannen erstellt, fehlerhaft bzw sehr ungenau zu sein scheinen.

Ich habe also folgendes gemacht:

Zunächst habe ich das Netzwerk immer nur mit einem PC untersucht, bis ich auf die Idee kam, dass ja eventuell irgendwelche Konfigurationsfehler oder was auch immer am Scan-PC ( also der PC auf dem Ethereal läuft und mit dem das Netz untersucht wird).

Damit ich mir sicher sein konnte, dass die aufgenommenen Daten korrekt sind, habe ich mir überlegt die Messungen an 2 Rechnern gleichzeitig durchzuführen. Bei den Messungen geht es mir vorallem darum, das zeitliche Antreffen der Pakete möglichst genau festzuhalten.

Also habe ich 2 Systeme neu eingerichtet, d.h. auf beiden winxp neu installiert, damit mir keine Zweitprogramme im Hintergrund in die Quäre kommen und Ethereal installiert.

Anschließend habe ich mit beiden PCs möglichst gleichzeitig eine Aufzeichnung gestartet.

Das Ergebnis war, dass sich die Zeitstempel bei den gleichzeitig durchgeführten Messungen unterschieden haben.

Dazu muss ich noch sagen, dass für mich jeweils die Zeit wichtig ist, die zwischen zwei aufeinanderfolgenden Paketen verstreicht. Diese kann man sich bei Ethereal ja über [view --> time display format --> seconds since previous packet] anzeigen lassen.

Obwohl die Messung an beiden PCs nicht 100% zur selben Zeit gestartet werden kann, macht es nicht aus, da ich alle Pakete anhand Ihrer Sequenznummer eindeutig identifizieren kann.

Das untersuchte Netzwerk besteht eigentlich nur aus 1 Teilnehmer, der periodisch ein Multicast-UDP Signal sendet.
Es sollte also z.B. alle 5 Millisekunden ein UDP Paket im Netzwerk zu sehen sein.

Die Messungen zeigen aber, dass an den beiden PCs unterschiedliche Werte für den zeitlichen Abstand zwischen 2 Paketen aufgenommen wurden.

So kann es z.B. sein dass zwischen 2 Datenpaketen (eindeutig identifizierbar an ihrer Sequenznummer) an einem PC eine Zeit von 4,5 Millisekunden und am anderen PC für genau dieselben 2 Datenpakete ein zeitlicher Abstand von 7,5 Millisekunden gemessen wurde.


Weiss jemand warum es zu so unterschiedlichen Ergebnissen bei der Messung mit Ethereal kommt?

MfG
Andi
 

geschrieben am 23.05.2006 um 15:07 von hannah

Das Ethernetframe hat meines Wissens keinen eindeutigen Zeitstempel, die Zeit wird vom System bei der Aufzeichnung vergeben. Wenn du also z.B. keine baugleichen Karten hast oder eine Karte die Checksumme auf der Karte berechnet und die andere über die CPU, dann könnte ich mir vorstellen, dass solche Effekte dabei heraus kommen.
 

geschrieben am 23.05.2006 um 18:53 von Mirko

Hallo Andi,
hannah hat recht. Im Frames selber gibt es keine Zeitstempel. Die Zeiten werden vom Betriebssystem geliefert. Die zeitlichen Schwankungen bei Deinen Messungen sind allerdings sehr groß. Sind diese Abweichungen bei allen Frames feststellbar?

Mirko
 

geschrieben am 24.05.2006 um 07:51 von Andi (Gast)

Nein, die "starken" zeitlichen Schwankungen sind nur bei wenigen Paketen feststellbar, trotzdem erschweren es diese wenigen Schwankungen das Verhalten des Netzwerks richtig zu beurteilen bzw. festzustellen, ob nun die Schwankung vom Sender bedingt ist oder die Zeitstempel ungenau sind.

Meint ihr es würde helfen mal auf ein anderes Betriebssystem (Linux) umzusteigen und damit die Messungen zu machen?

MfG
Andi
 

geschrieben am 24.05.2006 um 08:00 von Mirko

Du könntest ja einfach auf den beiden PCs mal eine Knoppix-CD booten und von dort Ethereal starten.

Mirko
 

geschrieben am 17.06.2006 um 20:08 von (Gast)

"Mirko" wrote:
Du könntest ja einfach auf den beiden PCs mal eine Knoppix-CD booten und von dort Ethereal starten.


Für das eigentliche Capturen empfiehlt es sich bei recht zeitkritischen oder CPU-lastigen Analysen die "Oberfläche" weg lassen, also z.B. tcpdump oder tethereal statt Ethereal/Wireshark zu verwenden. Ist vielleicht unkomfortabler, spart aber CPU-Last und eine komplexe Software-Ebene und funktioniert z.B. auch über Telnet/SSH auf entfernten Rechnern.

Für die spätere Analyse kann man Ethereal/Wireshark dann natürlich anwerfen, weil die Aufzeichnungen eingelesen werde können.

Falls auch das nichts hilft sollte man mal schauen, was die Konkurrenz so macht und z.B. Packetyzer verwenden. Der kann zwar nichts, was mich zum Konvertieren bringen würde, setzt aber auf der gleichen Library auf und ist daher einen Versuch wert. Wenn auch der auch noch die gleichen "Fehler" produziert kann die Ursache entweder in der Anwendung oder in der Capture-Library liegen. So kann man die Ursache häufig immer weiter eingrenzen, wenn sich das Problem nicht aus der Anwendung erklären lässt sondern im Analyse-Tool vermutet wird. Die Anwendung an sich, sollte man dabei aber nie vernachlässigen...
 

geschrieben am 29.07.2006 um 15:20 von TraceCaptain

Zeitstempel

ZEITSTEMPEL

Es spielt nicht nur eine Rolle, über welchen LAN-Adapter (Chipsatz) und Treiber der Trace aufgezeichnet wurde.

Folgende Faktoren spielen (mindestens) ebenso noch hinein:

-1-

Wird statt TEthereal/TShark über das GUI von Ethereal/Wireshark aufgezeichnet, kommt es zu erheblichen Verzögerungen und Paketverlusten, die nicht vorhersagbar sind.

Bei einem Trace-Capture via GUI würde es praktisch zwingend zu den Timestamp-Differenzen kommen, die beobachtet wurden.

-2-

Bei einem Trace-Capture via LAN-Adapter und Halb-Duplex-Link muss damit gerechnet werden, dass der Analyzer-PC aktiv ins Netz sendet und somit Leitungszeit auf dem Halb-Duplex-Anschluss belegt (beispielsweise für DNS/WINS-Namensauflösungen).

Bei einer Messung via Hub kann dies Kollisionen bringen und Paketverlust (eher unwahrscheinlich wegen der kurzen Kabellängen), bei einer Messung via Switch-Mirror-Port würde dies zu einer verzögerten Paket-Ausgabe des Switches in Richtung PC führen - und somit zu einer Veränderung des PC-Timestamps gegenüber der tatsächlichen Paket-Zeit im Switch bzw. auf der LAN-Leitung.

-3-

Bei Trace-Capture via Switch-Mirror-Port ist grundsätzlich der Timestamp mit Toleranz zu betrachten, da die Puffer-Auslastungen des Switches erheblich Einfluss auf das Zeitverhalten haben, was die Ausgabe des Packets zum LAN-Analyzer hin betrifft.

Selbst bei einem Wire-Tap lassen sich diese Effekte - je nach Bauart- nicht komplett ausschließen.


Gruss,
TraceCaptain
 

geschrieben am 31.07.2006 um 21:01 von Mirko

Hallo TraceCaptain,
willkommen im Forum. Danke für Deine konstruktiven Beiträge.

Gruß
Mirko
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019