Verbindungstests durchführen

Wenn Sie testen möchten, wie eine Verbindung nach außen aussieht, öffnen Sie Firefox und dann eine beliebige Website. Anschließend geben Sie in der Konsole "lsof -c firefox" ein und erhalten jetzt eine sehr umfangreiche Liste geöffneter Dateien. In der Spalte "TYPE" sehen Sie zum Beispiel den Eintrag "IPv4", der sich auf das Internet-Protokoll Version 4 bezieht. In der Spalte "NODE" (Bezeichnung eines Dateisystemeintrags) erscheint statt einer Zahl "TCP" (Transport Control Protocol). Dabei handelt es sich um das im Internet übliche Protokoll-Doppelpack TCP/IP. Am Ende der Zeile steht "(ESTABLISHED)", sofern Ihre Internet-Verbindung noch steht.

Waren Sie beim Wechsel auf die Konsole etwas zu langsam, sehen Sie nur noch "(CLOSE_WAIT)" für eine Verbindung, die bereits dabei ist, sich wieder zu schließen. Nach "TCP" sehen Sie, von wo nach wo die Verbindung verläuft, und zwar nach dem Schema Quellrechner (Rechnername, Dienst oder Portnummer) zu Zielrechner (Domainname oder zur entsprechenden IP-Adresse, Dienst oder Portnummer). In diesem Fall handelt es sich beim Quellrechner um Ihr eigenes System und beim Zielrechner um die angesurfte Website. Selbstverständlich können Sie auch hier wieder mit Hilfe der Befehlsergänzung "| grep TCP" mehr Übersicht erreichen.

Möchten Sie feststellen, was für Internet-Verbindungen auf Ihrem Rechner geöffnet sind, geben Sie "lsof -i" ein. Lassen Sie sich vom Ergebnis nicht irritieren, falls Sie zahlreiche Einträge erhalten. Es handelt sich nicht immer um Verbindungen, die tatsächlich auch ins Internet reichen. In vielen Fällen benutzen diese Verbindungen einfach nur Internet-fähige Protokolle. Das ist zum Beispiel beim Cups-Daemon der Fall, der unter Linux für die Verbindungen zu einem Netzwerkdrucker zuständig ist und dafür TCP verwendet. Stoßen Sie bei Prozessen, Diensten und Ports auf Unverständliches, googeln Sie nach den Bezeichnungen oder schlagen in der Port-Referenz im Internet nach (siehe unter "Mehr Infos").

Vielleicht haben Sie das mulmige Gefühl, dass nicht ständig, aber hin und wieder Programme unerwünschte Verbindungen ins Internet aufnehmen. In diesem Fall setzen Sie am besten das bewährte Sniffer-Werkzeug Wireshark (ehemals Ethereal) ein, um den Netzwerkverkehr zu protokollieren. Unter Ubuntu oder Debian können Sie Wireshark über den Paketmanager Synaptic einfach nachinstallieren, ebenso unter Suse über Yast.

Starten Sie das Programm unter Ubuntu über "Anwendungen, Internet, Wireshark (as root)" oder mit <Alt>-<F2> und der Eingabe von "gksu wireshark" oder "kdesu wireshark" unter KDE. Über "Capture, Options" öffnen Sie die Einstellungen und wählen bei "Interface" beispielsweise "eth0" für die erste Ethernet-Karte. Die Option "Capture packets in promiscuous mode" können Sie deaktivieren und mit den Standardeinstellungen über "Start" den Netzwerkverkehr abrufen.

Der Einsatz von "Capture"-Filtern, die den Netzwerkverkehr vor der Aufzeichnung filtern, ist erst sinnvoll, wenn Sie etwas Übung im Filtern haben. Dafür nutzen Sie vorläufig besser die "Display"-Filter im Anwendungsfenster. Lassen Sie den Netzwerkverkehr live im Anzeigefenster kurz durchlaufen, bis Sie etwas Anschauungsmaterial haben. Surfen Sie eventuell wieder etwas im Internet herum, falls Sie sonst keinen Netzwerkverkehr haben. Halten Sie den Live-Durchlauf über das "Stop"-Symbol an, und speichern Sie die gesammelten Daten bei Bedarf in einer Datei ab, um die Ergebnisse zu einem späteren Zeitpunkt in Ruhe zu analysieren.