Mobile-Menu

Mit Wireshark dem Fehler auf der Spur, Teil 2 Wireshark in der Praxis – Protokollanalyse und Fehlersuche

Autor / Redakteur: Johann Baumeister / Dipl.-Ing. (FH) Andreas Donner

Wireshark ist ein umfassendes Open-Source-Analysetool für Netzwerke auf Protokollebene. IP-Insider zeigt, wie sich mit dem kostenfreien Werkzeug Engpässen im Netzwerk lokalisieren lassen und wie man deren Ursachen auf die Spur kommt.

Mit Wireshark lässt sich der Netz-Traffic jedes Ports gezielt überwachen und analysieren (© Blueminiu - Fotolia.com)
Mit Wireshark lässt sich der Netz-Traffic jedes Ports gezielt überwachen und analysieren (© Blueminiu - Fotolia.com)

Im ersten Teil dieses zweiteiligen Beitrages haben wir uns mit den Grundlagen, dem Setup und dem prinzipielle Vorgehen mit Wireshark auseinandergesetzt. Dabei betrachteten wir eines der gängigsten Protokoll – ARP.

Nun wollen wir uns ein etwas umfangreicheres Beispiel ansehen. Im Rahmen der Netzwerküberwachung stellen Administratoren immer wieder Timeouts und Re-Transmits fest. Die Benutzer eines IP-Segments wiederum klagen mitunter über langen Antwortzeiten.

Bildergalerie
Bildergalerie mit 7 Bildern

Um dem Engpass auf die Spur zu kommen, starten wir einen Scanlauf. Dieser muss lange genug sein und natürlich den Zeitraum umfassen, in dem die Problem auftreten. Bei der nachfolgenden Analyse zeigt Wireshark bereits in der Übersicht einen zentrierten Netzwerkverkehr. Hilfreich an dieser Stelle ist auch ein Blick auf das I/O-Aufkommen; siehe Abbildung 1.

Es bestätigt sich die Vermutung wiederkehrender Netzwerkpeaks, die das Netz jeweils nahezu vollständig auslasten. In der Protokollübersicht zeigt sich außerdem, dass dieser Verkehr überwiegend von einer IP-Adresse ausgeht bzw. dahin führt.

Im Bild haben wir, um die Situation klarer zu gestalten, die weiteren Adressen ausgeblendet. Um weiter nach den Ursachen forschen zu können, lässt sich nun ein Filter auf diesen Rechner setzten. Aufschlussreich sind auch die Statistiken, die Wireshark bietet. Unter dem gleichnamigen Menü finden sich unter anderem drei Statistiken die mit „Endpoint List“, „Conversation“ und „Service Response Time“ umschrieben sind.

Statistik-Ansichten

Rufen Sie nun zuerst „Endpoint List“ Statistik auf. Hier finden sie eine Liste der Kommunikation nach IP-Endgeräten. In dieser Liste (Abbildung 2) ist ersichtlich, dass der Großteil des Datenvolumens von einer IP-Adresse ausgeht bzw. dahin führt. Anhand der IP-Adresse lässt sich nun auch das Gerät ausfindig machen.

Was aber noch fehlt, ist die Art des Datenverkehrs. In Abbildung 3 finden Sie rechts den Hinweis auf „macromedia-fcs“. In der englischsprachigen Wikipedia findet sich hierzu Folgendes: „Video on Demand, streaming video stored on the server to the flash client.“ Der Datenverkehr rührt also offenbar von einer Videoübrtragung her, wie es beispielweise dem Zugriff auf Youtube oder einer anderen Videoquelle.

Verpackter Videostream

Der Video-Stream ist dabei in das TCP-Protokoll eingepackt. Entsprechend der Anzeige im Bild gibt es dafür also keinen Protokolltyp oder zumindest keinen, den Wireshark direkt interpretieren könnte.

weiter mit: RTMP- und DNS-Analysen

Audio-Streams im Fokus

Etwas anders und einfacher ist die Situation beim Streaming-Pendant für Audio und dem Protokoll RTMP. Dieses wird unter anderem zur Übertragung von Audio Streams, wie etwa einem Internet Radio, verwendet.

Auch bei der Suche nach weiteren Informationen zum RTMP-Protokoll hilft das Web sicher weiter. Dort ist an passender Stelle zu lesen, dass RTMP für „Real Time Messaging Protocol“ steht. Dieses Protokoll wird unter anderem zur Übertragung von Audio Streams, wie etwa einem Internet Radio, verwendet.

Um dies zu prüfen haben wir eine Verbindung zu einem Audio-Server wie etwa einem Internet-Radio aufgebaut. In unserem Testbeispiel verwendeten wir dabei den Sender Bayern 3 und dessen Internetradio.

Stößt man nun erneut einen Scan an und analysiert die Protokolle, so finden sich nun RTMP-Pakete in der Protokollliste. Anschließend können auch hier die Protokolle oder IP-Adressen weiter eingegrenzt und Statistiken ausgeben werden. Natürlich wird auch hier die Analyse im Unternehmen eher nach dem Video-Stream-Beispiel ablaufen. Nach dem Scan des Datenstroms erfolgt die Analyse nach den Protokollen und aus diesen lässt sich dann i.d.R. auch der eigentliche Dienst, wie etwa Videostream oder Audiostream ermitteln.

DNS-Dienste im Visier von Wireshark

In unserem letzten Beispiel wollen wir uns die Namensauflösung mit DNS (Domain Name Service) in einer Wireshark-Analyse ansehen. DNS wird für Internetzugriffe (aber auch im LAN) benötigt.

Durch DNS wird ein logischer Name in eine IP-Adresse übersetzt. Diese IP-Adresse wird dann, wie wir im ersten Teil bereits feststellten haben, durch ARP in die MAC-Adresse übersetzt. DNS arbeitet somit vergleichbar zu ARP, allerdings eine Stufe höher.

Ohne einen funktionierenden DNS-Dienst gibt es keine Zugriffe auf Webseiten im Internet. Wann immer es Probleme bei Abruf von Webseiten gibt, sollte der DNS-Dienst geprüft werden. Oftmals liegt die Ursache in einer falschen Konfiguration der DNS-Server. Bei Problemen mit dem Internetzugang hilft Wireshark auch hier weiter. Statt nach ARP muss nun aber nach DNS-Einträgen in der Liste der Pakete gesucht oder gefiltert werden.

Keine Beschränkungen

Neben den hier betrachteten Protokollen ARP, TCP, RTMP oder dem VideoStream kann mit Wireshark natürlich auch jede andere Kommunikation verfolgt werden. Das Analysetool ist mächtig genug, nahezu jedes Protokoll, das allgemein verwendet wird, zu analysieren. Die Liste der unterstützen Protokolle findet sich in der begleitenden Dokumentation.

Soll eine detaillierte Protokollanalyse betrieben werden, muss man sich im Vorfeld über den Aufbau und die Verwendung der Protokolle informieren. Hierfür bietet das Internet die ideale Recherchebasis. Für eine einfache Prüfung, ob die Dienste funktionieren, reicht es aus, die Nachrichten zu finden, ohne diese im Detail zu analysieren.

Artikelfiles und Artikellinks

(ID:31839020)