1328232

Mit dem Sniffer Wireshark ein konkretes Netzwerk-Problem lösen

03.02.2016 | 16:37 Uhr | Hans-Christian Dirscherl

Wireshark ist in der Lage, nahezu jedes Protokoll zu analysieren.
Vergrößern Wireshark ist in der Lage, nahezu jedes Protokoll zu analysieren.

ARP-Pakete sind einfach und überschaubar. Wireshark ist allerdings in der Lage, nahezu jedes Protokoll zu analysieren. Einen kurzen Einblick liefert ihnen das nebenstehende Bild.

ISO/OSI-Modell für die Netzwerk-Kommunikation

Zur Interpretation dieser Protokolle und zur Fehlersuche werden Sie an einigen Grundkenntnissen über das ISO/OSI-Modell und dem Aufbau der Protokolle nicht vorbeikommen. Für unsere Betrachtungen sind dabei vor allen die Schichten 3 bis 5 von Interesse. Jegliche Kommunikation zwischen den Rechner findet dabei immer in mehrere Schichten statt. Dies ermöglicht universellere und austauschbare Codemodule. Diese Unterscheidung in verschieden Schichten ist für die Arbeit mit Wireshark und den Protokollen wichtig und wird daher kurz erläutert.

Netzwerkgrundlagen: ARP, TCP, IP

Die Schicht drei wird als Netzwerkschicht bezeichnet. In Ihr befindet sich die Logik zur Übertragung einer Nachricht zwischen zwei Endknoten. Dies erfolgt beispielsweise durch das IP-Protocol. Der Empfang der Nachricht ist allerdings nicht garantiert. Diese Art und Weise der Kommunikation wird auch als „connectionless“ (verbindungslos) bezeichnet. Durch einen Quittungsmechanismus (Handshake) wird die Übertragung einer Nachricht abgesichert. Diese passiert durch die Logiken in der Schicht 4 (dem TCP-Protokoll). Die Ebene 3 und 4 sorgen also lediglich dafür, dass eine Nachricht den Empfänger erreicht. Auf der Schicht fünf und höher befinden sich die Anwendungsdienste wie etwa eine Mailabfrage oder ein http-Zugriff. Damit beispielsweise der Mailclient seinen Mailserver findet, setzt er über die Basisdienste der Schicht 4 und darunter sein Anfragen ab. Der Transport der Mailanfrage aber auch der Mail selbst erfolgt dann durch die unteren Protokolle.

Dem Netzwerk-Problem auf der Spur

Nach diesen Erläuterungen, die die prinzipielle Arbeitsweise mit Wireshark aufzeigen, wenden wir uns nun einem komplexeren Beispiel zu. Die Aufgabenstellung ist dabei folgendermaßen: Mehrere Benutzer klagen, dass das Netzwerk „zu langsam“ sei. Sie als Netzwerk-Administrator sollen nun die Ursache dafür herausfinden. Beruht der Engpass auf einer gleichmäßigen aber starken und linearen Beanspruchung durch alle Benutzer oder Anwendungen oder geht die Last eher von wenigen Geräte oder Anwendungen aus?

Starten Sie dazu wieder einen Scanlauf mit Wireshark. Dieser sollte nun natürlich den Zeitraum umfassen, in dem die Netzwerk-Probleme in der Regel auftreten. Dabei zeigen sich in unserem Beispiel bereits im ersten Überblick viele Pakete mit dem Protocol RTMP.

Sie können nun im nächsten Schritt die Anzeige auf das Protokoll RTMP eingrenzen. Hierzu verwenden Sie den Anzeigefilter des Netzwerk-Sniffers Wireshark.

Die "Endpoint List“ unter Statistics liefert die Aufschlüsselung des Datenverkehrs nach den Geräten. Die IP-Adressen sind im Bild ausgeblendet.
Vergrößern Die "Endpoint List“ unter Statistics liefert die Aufschlüsselung des Datenverkehrs nach den Geräten. Die IP-Adressen sind im Bild ausgeblendet.

Filer in Wireshark verwenden

Im Übersichtsbild zeigt sich anhand der IP-Adresse aber auch bereits, dass diese Nachrichten ausschließlich zu einem Rechner übertragen werden. Sie könnten nun ebenso einen Filter auf diesen Rechner setzten. Hilfreich sind in jedem Fall aber auch die Statistiken, die Wireshark Ihnen bietet. Unter dem gleichnamigen Menü finden Sie unter anderem drei Statistiken, die mit „Endpoint list“, „Conversation“ und „Service Response Time“ umschrieben sind. Rufen Sie nun zuerst die „Endpoint List“-Statistik auf. Hier finden sie eine Liste der Kommunikation nach IP-Endgeräten (siehe auch nebenstehendes Bild). Diese Liste zeigt eindeutig die Verteilung des Datenverkehrs nach Endgeräten in dem gewählten Zeitraum. Anhand der IP-Adresse lässt sich nun auch das Gerät ausfindig machen.

Google und Wikipedia helfen bei der Suche nach dem Protokollen und deren Verwendung sicher weiter.
Vergrößern Google und Wikipedia helfen bei der Suche nach dem Protokollen und deren Verwendung sicher weiter.

Was aber noch fehlt ist die Art des Datenverkehrs. Woher rührt er? Hier hilft Google oder auch die Online-Hilfe von Wireshark weiter. Wenn Sie in einem von beiden nach dem Begriff „RTMP“ suchen, werden Sie sehen, dass es sich dabei um das „Real Time Messaging Protocol“ handelt. Dieses wird unter anderem zur Übertragung von Audio Streams, wie etwa einem Internet Radio, verwendet. Aber auch Video-Streams werden damit übertragen. Der Grund für den Engpass im Netzwerk dürfte also ein PC mit massiven Video-Streaming sein, wodurch dermaßen viel Traffic entsteht, dass das Netzwerk ausgebremst wird.

DNS-Auflösung prüfen

Für den Zugriff auf eine Webseite benötigen Sie zwingend den DSN-Dienst. Auch diesen finden Sie in der Wireshark-Liste der Nachrichten.
Vergrößern Für den Zugriff auf eine Webseite benötigen Sie zwingend den DSN-Dienst. Auch diesen finden Sie in der Wireshark-Liste der Nachrichten.

Alle Zugriffe auf das Internet benötigen zwingend einen DNS-Dienst. DNS (Domain Name Service) ist im Prinzip ein Namensdienst wie ARP. ARP findet für eine IP-Adresse die zugehörige MAC-Adresse. DNS arbeite eine Stufe höher als ARP. DNS löst eine Namen wie www.pcwelt.de in eine IP-Adresse auf. Bei Problemen mit dem Internetzugang hilft Wireshark auch hier weiter. Nur müssen Sie dann nach den DNS-Einträgen in der Paketliste suchen.

Durch einen einfachen ping können Sie die Angaben von Wireshark verifizieren. Im Beispiel haben wir die gemeldete Adresse 172.194.70. 100 gepingt.
Vergrößern Durch einen einfachen ping können Sie die Angaben von Wireshark verifizieren. Im Beispiel haben wir die gemeldete Adresse 172.194.70. 100 gepingt.

Wenn Sie die Details dazu analysieren möchten, müssen Sie sich auch über den Aufbau der Pakete in Klaren sein. Das galt aber analog auch bereits für die ARP-Pakete oder die RTMP-Nachrichten. Doch für eine einfache Prüfung ob die Dienste funktionieren reicht es aus wenn sie die Nachrichten finden, ohne sie im Detail zu analysieren.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1328232