Messpunkte setzen, Daten aufzeichnen und fehlerfrei auswerten, so geht’s!

Anbieter zum Thema

Fast Lane Institute for Knowledge Transfer GmbH

TAPs und Splitter

Die aufwändigste Variante der Netzwerkmessung ist der Einsatz von TAPs bzw. Splittern. Diese Geräte werden wie eine Art Adapter in die Leitung eingeschleift und liefern dann Abgreifmöglichkeiten für Messdaten. Dabei wird z.B. das Kabel vom Switch zu einem Server aus dem Switch abgezogen, auf den TAP gesteckt und mit einem zusätzlichen Kabel die Verbindung aus dem TAP zum Switch wiederhergestellt – nun allerdings mit dem TAP in der Leitung.

TAPs sind die einzige Variante, mit der man echte Vollduplex-Messungen durchführen kann und Empfangs- und Senderichtung getrennt voneinander aufzeichnet. Die Glasfaser-Varianten werden auch Splitter genannt, da sie das Licht zum Teil aus der produktiven Leitung abzweigen und zum Messgerät leiten.

Kupfer-TAPs brauchen immer eine Stromversorgung, am besten natürlich redundant, wobei auch ein vollständiger Ausfall der Spannung kein Problem darstellt. Qualitativ hochwertige TAPs schalten in einem solchen Fall die Produktionsleitung per Relais einfach durch, und es ist keine längerfristige Unterbrechung zu befürchten.

TAPs und Splitter gibt es in extrem vielen Varianten, die neben der einfachen Vollduplex-Messung bis zu intelligenten Filtern und Payload-Anonymisierung allen möglichen Komfort bieten. Generell werden TAPs dann eingesetzt, wenn die Messung so exakt wie möglich sein muss, damit man den SPAN-Port als etwas ungenaue Variante aus der Analysebetrachtung ausschließen kann.

Remote Capture

Ein wenig bis gar nicht bekanntes Feature von Wireshark ist die Möglichkeit, die eigentliche Aufzeichnung der Daten aus der Ferne durchzuführen und sich dabei die Messdaten von einem Aufzeichnungsgerät live zum Analysten streamen zu lassen.

Ähnliche Ansätze gibt es zwar schon mit dem beispielsweise von Cisco bekannten Remote-SPAN Feature, aber dieses hat einige gravierende Nachteile. So sind die Zeitstempel der Pakete oftmals durch den Transport zum Messgerät nicht mehr exakt genug, was in den meisten Fällen eine Auswertung stark erschwert.

Damit man das Remote Capture Feature verwenden kann, braucht man zunächst einen zusätzlichen PC, auf dem man die Software rpcapd.exe startet (siehe Abbildung 5). Diese ist Teil der WinPCAP-Distribution und findet sich im gleichen Programmverzeichnis als simples Kommandozeilen-Executable.

Der PC sollte zwei Netzwerkkarten besitzen: eine zur Aufzeichnung und eine für den Fernzugriff. rpcapd started bei Aufruf ohne weitere Parameter standardmäßig auf TCP Port 2002 und erwartet bei Zugriff einen lokalen Useraccount als Login. In Wireshark öffnet man die Aufzeichnungsoptionen und wählt beim Interface die Option „Remote“ (siehe Abbildung 6).

Danach muss man die IP der Fernzugriffskarte der Capture Engine sowie User und Passwort eingeben und kann anschließend die Aufzeichnung starten. Alle Pakete, die die Capture Engine erreichen, werden lokal mit Zeitstempeln versehen und danach per Stream zu Wireshark übertragen. Das macht eine Echtzeit-Beobachtung von Daten sehr viel einfacher, als erst Daten auf der Capture Engine aufzuzeichnen und sie danach mühsam per RDP, FTP oder ähnlichem Transport zu sich heranzuholen und anzusehen.