Netzwerkdiagnose mit Traceroute unter der Lupe – Teil 2

Diese Probleme von Traceroute sollten Sie kennen

| Autor / Redakteur: Christian Köckert / Andreas Donner

Traceroute ist vermutlich eines der beliebtesten Mini-Monitoring-Tools – und arbeitet leider nur sehr unzureichend!
Traceroute ist vermutlich eines der beliebtesten Mini-Monitoring-Tools – und arbeitet leider nur sehr unzureichend! (Bild: © dzianominator - stock.adobe.com)

Die Möglichkeiten von Traceroute – dem bei vielen Admins sehr beliebten Tools für die Analyse des Netzwerk-Verhaltens – sind leider begrenzt. Neben den bereits in Teil 1 dieser Miniserie genannten Schwachstellen (siehe Verlinkung in den ersten Absätzen) schmälern aber noch zwei weitere Aspekte die Tauglichkeit des Monitoring-Werkzeugs.

Das bei Admin allseits beliebte Diagnose-Tool Traceroute kämpft mit so manchen Problemen und Unzulänglichkeiten. Denn das Tool meldet den Verkehr bzw. seine Route nur von A nach B. Für den Datenverkehr in umgekehrter Richtung, also von B nach A muss Traceroute ein weiteres Mal vom anderen Ende aus ausgeführt werden, um den vollständigen Pfad zu analysieren.

Außerdem sind nach der Analyse nur die Geräte bekannt, nicht jedoch die Schnittstellen. Um diese zu erkunden, sind zusätzliche Abfragen notwendig. Ferner basiert Traceroute auf ICMP-Messaging. Dies liefert zuweilen eine größere Verzögerung, als tatsächlich im Traffic vorhanden. Grund dafür ist, dass ICMP den „langsamen Pfad“ eines Gerätes nutzt und nicht den schnellen, der für die Weiterleitung von Daten dient, die den Router passieren.

So löst

Netzwerkdiagnose mit Traceroute unter der Lupe – Teil 1

So löst "A-B Path" die Probleme von Traceroute

13.12.19 - Jeder Administrator kenn den Befehl Traceroute, um eine Verbindung von einem Quellrechner zu einem Zielrechner über das Internet zu testen. So aufgelistete Zwischen­sta­tio­nen und der Zeit- bzw. Paketverlust auf den Teilstrecken zwischen den einzelnen Knoten erlauben einen Rückschluss auf mögliche Problempunkte von Verbindungen. Doch ganz so einfach funktioniert Traceroute gar nicht! lesen

Zudem liefert Traceroute nur statischen Text und eignet sich daher kaum für konkrete Handlungsanweisungen. Ein zusätzlicher Punkt für die nur bedingte Monitoring-Eignung von Traceroute ist, dass es Equal-Cost-Pfade nicht darstellt. Nur der Pfad, den Traceroute tatsächlich nimmt, wird gemeldet. Und – nicht zuletzt – meldet Traceroute keine Layer-2-Hops. Doch dies sind nicht alle Nachteile, mit denen Netzwerktechniker zu leben haben. Es kommen noch zwei weitere hinzu.

Keine historischen Daten

Um Probleme in Netzwerken wirklich exakt und präzise verstehen zu können, müssen nicht nur aktuelle Werte vorliegen, sondern auch historische. Nur so können Veränderungen zuverlässig nachvollzogen werden.

Traceroute liefert jedoch leider ausschließlich eine Momentaufnahme des aktuellen Status. Eine Möglichkeit, festzustellen, welcher Pfad genommen wurde, als der Traffic noch einwandfrei lief – etwa am Vortag – ist nicht gegeben. So kann bei Ergebnissen, die mehrere Hops ausweisen, der Eindruck entstehen, dass sich der Fehler innerhalb dieser Hops befindet. Möglicherweise liegt die Fehlerquelle aber außerhalb dieser Hops.

So sollten Techniker sich in einem solchen Fall am Gerät des letzten Hops anmelden und überprüfen, ob im Gerät ein Routing-Eintrag zum vorgesehenen Ziel vorhanden ist. Falls dieser Eintrag besteht, dann verursacht dieses Gerät häufig im nächsten Hop des Routing-Eintrags ein Problem. Sicherheitshalber sollte dann die Egress-Schnittstelle für das Routing im nächsten Hop überprüft werden, damit die Schnittstellenleistung und die ACL-Konfiguration bekannt sind.

Selbstverständlich ist der Mangel an historischen Daten ein Manko, wenn eine verlässliche Fehleranalyse durchgeführt werden soll. Eine Alternative bietet A-B Path, denn es kann historische oder aktuelle Informationen – oder eben beides – miteinander vergleichen. Daher vereinfacht es die eigentliche Isolation des Fehlers deutlich, was in Bezug auf Troubleshooting von enormer Bedeutung ist. Denn im schlimmsten Fall kann sich ein Fehlerbild über die Zeit verändern oder temporär auch gänzlich verschwinden.

Unverständliche Traceroute-Fehlermeldungen

Der wahre Erkenntnisgewinn ergibt sich natürlich aus der Rückmeldung eines Analysewerkzeugs. Wenn die Ausgabe unverständlich oder kryptisch ist, kann der beste Netzwerktechniker nicht unbedingt auf dem ersten Blick erfassen, wie sich die Situation tatsächlich darstellt. Und Traceroute glänzt leider nicht durch die Eindeutigkeit seiner Rückmeldungen.

So werden beispielsweise bei einer Cisco-Implementierung Fälle durch einzelne Buchstaben ausgedrückt. Auf dem ersten Blick mag dies verständlich sein, wenn man jedoch die genaueren Umstände in Erfahrung bringen möchte, sind weitere Überprüfungen notwendig. Beispielsweise bedeutet ein A „administratively prohibited (example, access-list)“. So kann eine Traceroute-Antwort mit dem Buchstaben A bedeuten, dass etwa eine Zugriffssteuerungsliste (Access Control List, ACL) Traceroute den Zugriff verwehrt. Jedoch ist nicht klar, um welche Zugriffsliste es sich genau handelt. Um dies genauer in Erfahrung zu bringen, müsste man sich beim Router anmelden und analysieren, über welche Schnittstelle das Paket eingegangen ist. Dann müssten die Konfiguration überprüft und die ACL genauer betrachtet werden. Diese Schritte können den Prozess erheblich in die Länge ziehen – Zeit, die Netzwerktechniker bei Problemdiagnosen nicht haben, da jede Minute zählt.

Traceroute selbst lässt bei seinen Fehlermeldungen keine Rückschlüsse auf die Ursache zu. Bestenfalls liefert es die Ergebnisse selbst oder Informationen zum Hergang eines Fehlers. Ist beispielsweise ein Host unerreichbar, genügt diese Information alleine nicht, die Ursachen für die Störung zu beseitigen. Die dafür benötigten Daten müssen mühsam entweder aus den Geräten selbst oder anhand vorhandener Dokumentationen zusammengetragen werden.

Sinnvolle Alternative

Glücklicherweise ist Traceroute nicht der Weisheit letzter Schluss. Eine Alternative dazu bietet beispielsweise der A/B Path Calculator von NetBrain. Dieser wurde eigens für die genannten Problemstellungen entwickelt und ermöglicht die dynamische Abbildung eines Pfades zwischen zwei Punkten im Netzwerk. Dabei berücksichtigt die Funktion bei der Abbildung der Situation etwa Firewalls, Lastverteiler (Load Balancer) sowie erweiterte Protokolle wie Routing, ACL, PBR, VRF oder NAT und kann dem Weg der Daten durch diese Instanzen hindurch folgen. Auch kann A/B Path diverse Informationen, die Traceroute nicht auswerten kann, für die eigene Analyse nutzen – beispielsweise ACLs oder Portstatistiken.

Daneben bietet A/B Path die Möglichkeit, auch auf Layer 4 aktiv zu werden, und so eine genauere Pfadanalyse durchzuführen. Diese zeigt auf, ob der Traffic das Ziel erreichen würde. Zusätzlich ermöglichen es Analysen wie ACL, NAT, Policy, VRF oder Routing dem Netzwerktechniker, Fehler leichter zu identifizieren und diese schneller zu beheben.

Demgegenüber setzt Traceroute rein auf Layer 3 und nutzt lediglich IP-Informationen für die Wegefindung und die Darstellungen der einzelnen Knoten, über die die Datenübermittlung stattfindet. Falls diese Layer-3-Informationen nicht vorhanden sein sollten, etwa weil sich ein reiner Layer-2-Switch zwischen zwei Layer-3-Knoten befindet, dann wird dieser Layer-2-Knoten nicht erkannt. Er fehlt somit in der Betrachtung des Pfades der Kommunikation zwischen zwei Punkten. So kommt es zu einer lückenhaften Information.

Zwar existiert ein Layer-2-Traceroute, das allerdings über einige Mängel verfügt. So stellt ein Layer-2-Traceroute alle Knoten dar, aber da es nicht überall implementiert ist, erfolgt die Betrachtung des Datenpfades rein auf Layer 2, die Informationen des Layer 3 fehlen hier. Die Verknüpfung der Informationen, die durch beide Layer gewonnen wurden, ist schwierig. Aufgrund der tabellarischen Textdarstellung müssen beide Informationsarten händisch miteinander verknüpft werden. Dies kann ein sehr zeitaufwändiger und fehleranfälliger Prozess sein.

Auch hier bietet A/B Path eine Alternative. Durch die Verwendung und Verknüpfung sämtlicher gelernter Informationen aus Layer 2 und Layer 3 kann es den gesamten Weg zwischen zwei Kommunikationspartnern darstellen. Etwaige Lücken werden hierbei sozusagen automatisch gefüllt. Daraus ergibt sich ein ganzheitliches Bild.

Zusätzlich können hier auch beide Informationen, die aus Layer 2 und Layer 3, simultan angezeigt werden. Das führt zu einem besseren Überblick und erspart es den Netzwerktechnikern, die Einzelinformationen selbst übereinander legen zu müssen. A/B Path zeigt Informationen ferner grafisch aufbereitet an. Im Gegensatz hierzu bietet Traceroute seine Ergebnisse ausschließlich in rein tabellarischer Textform. Im Resultat arbeitet A/B Path schneller, genauer und führt zu weniger Fehlern. Der Umstand, dass A/B Path seine Stärken nur im eigenen Netzwerk entfalten kann, ist kein Nachteil. Denn in der Praxis liegt stets die eigene Umgebung im Fokus, denn nur auf diese können Administratoren letztendlich Einfluss nehmen.

Anwendung in der Praxis

Wo kann A/B Path seine Stärken ausspielen? Beispielsweise kann ein Netzwerk-Team das Tool bei der Suche nach einem Performance-Problem einsetzen, etwa wenn auf dem Datentransport zwischen einem Datenbank- und einem Webserver die Übertragungsleistung plötzlich einbricht. Ein zweites Beispiel wäre die Abbildung eines VoIP-Verkehrsflusses, etwa wenn bei einem IP-gestützten Telefonat zwischen Hamburg und München die Sprachübertragung gelegentlich zeitverzögert auftritt und sich Latenzen entwickeln (Jitter).

Nicht zuletzt kann A/B-Path bei der Aufdeckung von Cyber-Angriffen genutzt werden, etwa bei einem DDoS-Angriff. Hier sendet beispielweise ein Host massive Anfragen gegen einen Server beziehungsweise eine Applikation im Netzwerk. In diesem Fall ist es bei der Analyse besonders wichtig, herauszufinden, woher der Traffic stammt und welcher Bereich des Netzwerks betroffen ist, um die Folgen sichtbar zu machen. Zusätzlich können mit Netflow die Netzwerk-Elemente mit dem höchsten Traffic-Aufkommen identifiziert und so der Pfad abgebildet werden. Bei Netflow handelt es sich um ein Verfahren, bei dem Geräte, etwa ein Router oder ein Layer-3-Switch, Informationen über einen Datenstrom innerhalb des Gerätes exportieren können.

Fazit

Grundsätzlich ist die Verwendung von A/B Path anstelle von Traceroute empfehlenswert. Denn gerade in der Netzwerktechnik ist eine schnelle Reaktion auf Fehlerquellen enorm wichtig. Hier auf veraltete Technologien zu setzen, bedeutet, die Zukunftsfähigkeit des eigenen Unternehmens zu riskieren.

Über den Autor

Christian Köckert ist Technical Lead Pre Sales bei NetBrain.

So löst

Netzwerkdiagnose mit Traceroute unter der Lupe – Teil 1

So löst "A-B Path" die Probleme von Traceroute

13.12.19 - Jeder Administrator kenn den Befehl Traceroute, um eine Verbindung von einem Quellrechner zu einem Zielrechner über das Internet zu testen. So aufgelistete Zwischen­sta­tio­nen und der Zeit- bzw. Paketverlust auf den Teilstrecken zwischen den einzelnen Knoten erlauben einen Rückschluss auf mögliche Problempunkte von Verbindungen. Doch ganz so einfach funktioniert Traceroute gar nicht! lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46348804 / LAN- und VLAN-Administration)