Suchen

Mit Wireshark dem Fehler auf der Spur, Teil 2 Wireshark in der Praxis – Protokollanalyse und Fehlersuche

| Autor / Redakteur: Johann Baumeister / Dipl.-Ing. (FH) Andreas Donner

Wireshark ist ein umfassendes Open-Source-Analysetool für Netzwerke auf Protokollebene. IP-Insider zeigt, wie sich mit dem kostenfreien Werkzeug Engpässen im Netzwerk lokalisieren lassen und wie man deren Ursachen auf die Spur kommt.

Firma zum Thema

Mit Wireshark lässt sich der Netz-Traffic jedes Ports gezielt überwachen und analysieren (© Blueminiu - Fotolia.com)
Mit Wireshark lässt sich der Netz-Traffic jedes Ports gezielt überwachen und analysieren (© Blueminiu - Fotolia.com)

Im ersten Teil dieses zweiteiligen Beitrages haben wir uns mit den Grundlagen, dem Setup und dem prinzipielle Vorgehen mit Wireshark auseinandergesetzt. Dabei betrachteten wir eines der gängigsten Protokoll – ARP.

Nun wollen wir uns ein etwas umfangreicheres Beispiel ansehen. Im Rahmen der Netzwerküberwachung stellen Administratoren immer wieder Timeouts und Re-Transmits fest. Die Benutzer eines IP-Segments wiederum klagen mitunter über langen Antwortzeiten.

Bildergalerie

Bildergalerie mit 7 Bildern

Um dem Engpass auf die Spur zu kommen, starten wir einen Scanlauf. Dieser muss lange genug sein und natürlich den Zeitraum umfassen, in dem die Problem auftreten. Bei der nachfolgenden Analyse zeigt Wireshark bereits in der Übersicht einen zentrierten Netzwerkverkehr. Hilfreich an dieser Stelle ist auch ein Blick auf das I/O-Aufkommen; siehe Abbildung 1.

Es bestätigt sich die Vermutung wiederkehrender Netzwerkpeaks, die das Netz jeweils nahezu vollständig auslasten. In der Protokollübersicht zeigt sich außerdem, dass dieser Verkehr überwiegend von einer IP-Adresse ausgeht bzw. dahin führt.

Im Bild haben wir, um die Situation klarer zu gestalten, die weiteren Adressen ausgeblendet. Um weiter nach den Ursachen forschen zu können, lässt sich nun ein Filter auf diesen Rechner setzten. Aufschlussreich sind auch die Statistiken, die Wireshark bietet. Unter dem gleichnamigen Menü finden sich unter anderem drei Statistiken die mit „Endpoint List“, „Conversation“ und „Service Response Time“ umschrieben sind.

Statistik-Ansichten

Rufen Sie nun zuerst „Endpoint List“ Statistik auf. Hier finden sie eine Liste der Kommunikation nach IP-Endgeräten. In dieser Liste (Abbildung 2) ist ersichtlich, dass der Großteil des Datenvolumens von einer IP-Adresse ausgeht bzw. dahin führt. Anhand der IP-Adresse lässt sich nun auch das Gerät ausfindig machen.

Was aber noch fehlt, ist die Art des Datenverkehrs. In Abbildung 3 finden Sie rechts den Hinweis auf „macromedia-fcs“. In der englischsprachigen Wikipedia findet sich hierzu Folgendes: „Video on Demand, streaming video stored on the server to the flash client.“ Der Datenverkehr rührt also offenbar von einer Videoübrtragung her, wie es beispielweise dem Zugriff auf Youtube oder einer anderen Videoquelle.

Verpackter Videostream

Der Video-Stream ist dabei in das TCP-Protokoll eingepackt. Entsprechend der Anzeige im Bild gibt es dafür also keinen Protokolltyp oder zumindest keinen, den Wireshark direkt interpretieren könnte.

weiter mit: RTMP- und DNS-Analysen

Artikelfiles und Artikellinks

(ID:31839020)