Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Langzeitaufzeichnungen mit tethereal

Ethereal bietet ein interessantes Feature namens Ring Buffer. Diese ermöglicht dem Benutzer, einen Trace auf mehrere Dateien aufzuteilen. Bei längeren Aufzeichnungen von Netzwerkverkehr entsteht schnell ein sehr großes Tracefile. Die folgende Auswertung, gerade auf etwas leistungsschwächeren Maschinen, macht dann keinen Spaß mehr. Beim Einsatz eine Ring Buffers wird der Traffic nacheinander im mehrere Dateien geschrieben. Nach den Schreiben der letzten Datei, wird die erste Datei wieder überschrieben. Durch dieses Verfahren, wird auch ein Vollschreiben der Festplatte verhindert.

Prinzipdarstellung Ringbuffer

Prinzipdarstellung Ring Buffer

Für solche Aufzeichnungen eignet sich das Kommandozeilenprogramm tethereal sehr gut. Es gehört zum Open Source Sniffer Ethereal.

Der Syntax beim Aufruf von der Kommandozeile sieht so aus:

tethereal -a filesize:5000 -b 5 -w trace.pcap

Die Größe einer Datei beträgt 5000 kb, es werden 5 Dateien angelegt und die Dateinamen beginnen mit "trace". Die Dateinamen erhalten zusätzlich eine laufende Nummer und Datum und Uhrzeit.

Dateilisting

So sehen die Dateinamen aus

Zusätzlich können sie mit dem Parameter "-s" die Frames bei der Aufzeichnung abschneiden.

tethereal -a filesize:5000 -b 5 -s 500 -w trace.pcap

zeichnet nur die ersten 500 Byte jedes Frames auf. Für viele Analysen ist das ausreichend.

Ethereal Homepage

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012