Verwenden von Sniffit
Dieser Abschnitt beschreibt die Konfiguration von Sniffit. Sniffit ist ein Paketüberwachungsprogramm für TCP/IP-Netzwerke. Es überwacht den Netzwerkverkehr auf der Paketebene, einschließlich IP, TCP, UDP und ICMP-Pakete. Das Tool lässt sich für die Protokollierung aller eingehenden Pakete sowie für die Filterung und Aufzeichnung von Paketen eines bestimmten Typs oder auf einem bestimmten Port konfigurieren. Sniffit kann auch im interaktiven Modus ausgeführt werden, wodurch eine Überwachung des Netzwerkverkehrs ist Echtzeit möglich ist.
Wenn Sie Sniffit im interaktiven Modus ausführen, wird seine Ausgabe in einer auf ncurses basierenden grafischen Benutzeroberfläche angezeigt. Starten Sie dazu Sniffit mit der Option -i oder -I. Im interaktiven Modus können Sie die Quelle und das Ziel aller im Netzwerk übertragenen Pakete sehen. Die Abbildungen See Ausführung von Sniffit im interaktiven Modus. und See Anzeigen von kumulativen Statistiken des Netzwerkdatenverkehrs. illustrieren den grafischen Modus von Sniffit.
In Abbildung 62 zeigen die ersten beiden Spalten die Ausgangs-IP-Adresse sowie den Ausgangsport der Pakete. Die Pfeile in der dritten Spalte zeigen die Richtung, in der die Pakete übertragen werden. Die vierte und fünfte Spalte enthalten die Ziel-IP-Adressen und Ports. In der letzten Spalte wird der Datentyp aufgeführt, den die Pakete enthalten (falls bekannt).
Die erste Zeile zeigt, dass der Host mit der IP-Adresse 209.10.41.242, Port 21, FTP-Daten an die Adresse 207.179.19.52, Port 1075 sendet. In diesem Fall hat das Zielsystem die Kernelsource von der Adresse ftp.kernel.org heruntergeladen.
Abbildung See Anzeigen von kumulativen Statistiken des Netzwerkdatenverkehrs. zeigt die gleichen Informationen wie See Ausführung von Sniffit im interaktiven Modus., mit der Ausnahme, dass ein kleineres Fenster die kumulative Statistik für den Netzwerkdatenverkehr enthält. Sie können diese Anzeige durch Drücken von n wechseln.
Tabelle See Sniffit-Tastatureingaben. enthält eine Liste der Tastatureingaben, die im interaktiven Modus von Sniffit verfügbar sind.
Sniffit-Tastatureingaben
|
Tastatureingabe
|
Beschreibung
|
|
NACH OBEN-TASTE, k
|
Zur vorherigen Zeile wechseln
|
|
NACH UNTEN-TASTE, j
|
Zur nächsten Zeile wechseln
|
|
F1, 1
|
Die Adresse des überwachten Ausgangshosts ändern
|
|
F2, 2
|
Die Adresse des überwachten Zielhosts ändern
|
|
F3,3
|
Die auf dem Ausgangshost zu überwachende Portnummer ändern
|
|
F4, 4
|
Die auf dem Zielhost zu überwachende Portnummer ändern
|
|
n
|
Die Anzeige der Netzwerkstatistik ändern
|
|
q
|
Beenden
|
Wenn der interaktive Modus von Sniffit für die Echtzeitüberwachung auch durchaus nützlich ist, wird das Tool häufiger für die Filterung bestimmter Paket- oder Hosttypen und zur Protokollierung in eine oder mehrere Protokolldateien konfiguriert. Mit den Befehlszeilenparametern in Tabelle See Befehlszeilenoptionen für den Batchmodus von Sniffit. können Sie die Funktionsweise von Sniffit anpassen.
Befehlszeilenoptionen für den Batchmodus von Sniffit
|
Option
|
Argument
|
Beschreibung
|
|
-v
|
<ohne>
|
Version anzeigen und beenden
|
|
-t
|
{IP-Adresse}
|
Pakete mit Ziel {IP-Adresse} überwachen
|
|
-s
|
{IP-Adresse}
|
Pakete mit Ursprung {IP-Adresse} überwachen
|
|
-c
|
{Datei}
|
Konfigurationsinformationen aus Datei lesen
|
|
-d
|
<ohne>
|
Rawpakete als Bytesequenzen im Hexadezimalformat ausgeben
|
|
-a
|
<ohne>
|
Rawpakete als Bytesequenzen im ASCII-Format ausgeben
|
|
-p
|
N
|
Portnummer N überwachen, 0 = alle Ports
|
|
-L
|
{Protokollparam}
|
Protokollierungsebene auf Protokollparam einstellen
|
Die Optionen -s und -t erkennen das Schlüsselwort all, das bewirkt, dass Sniffit den Datenverkehr im gesamten Subnetz eines Systems überwacht, sowie das Platzhalterzeichen @. Beispiel:
# sniffit -s 192.68.9@
überwacht alle Pakete mit den Ausgangs-IP-Adressen 192.68.90.0 bis 192.68.99.255. Analog dazu:
# sniffit -t 192.68.90.@
überwacht alle Pakete mit den Ziel-IP-Adressen im Bereich 192.68.90.0 bis 192.680.90.255.
Mit der Option -p können Sie bestimmte Ports überwachen. Wenn Sie beispielsweise die Daten überwachen möchten, die an den Telnetport eines Systems gesendet werden, verwenden Sie die Option -p 23 wie folgt:
# sniffit -p 23 -t 192.68.90.234
Mit den Optionen -d und -a wird Sniffit veranlasst, die Rawpakete im Hexadezimal- bzw. ASCII-Format anzuzeigen, anstatt diese zu interpretieren. Wie in Tabelle 10 erwähnt, zeichnet die Option all alle Pakete auf, die an oder von beliebigen IP-Adressen im Subnetz von Sniffit gesendet werden.
-L ermöglicht die Protokollierung mit einer durch Protokollparam angegebenen Protokollierungsebene. Dabei handelt es sich um eine Zusammensetzung eines oder mehrerer der folgenden Begriffe.
-
raw - Rawebene
-
norm - Normale Ebene
-
telnet - Kennwörter am Telnetport (23) protokollieren
-
ftp - Kennwörter am Ftp-Port (21) protokollieren
-
mail - Mailinfo auf dem SMTP-Port (25) protokollieren
Bei der Protokollierung muss die Option -c verwendet werden. Die Standardprotokolldatei heißt sniffit.log. Es kann in der Konfigurationsdatei auch eine andere Protokolldatei angegeben werden. Mit der nachfolgenden Befehlszeile wird die normale Protokollierung auf dem SMTP-Port aktiviert. Die Konfigurationsinformationen werden aus der Datei sniffit.conf im aktuellen Arbeitsverzeichnis gelesen.
# sniffit -L mailnorm -c ./sniffit.conf
Die Konfigurationsdatei besteht aus einer Reihe von Zeilen im folgenden Format:
{Feld1} {Feld2} {Feld3} {Feld4} [Feld5]
Feld1 kann einen der folgenden Einträge enthalten:
-
select - Pakete an/von Host in Feld3 und Feld4 aufzeichnen
-
deselect - Pakete an/von Host in Feld3 und Feld4 ignorieren.
-
logfile - Name der Protokolldatei in den Wert im Feld2 umändern
Feld2 kann einen der folgenden Einträge enthalten:
-
from - Von Host in Feld3 und Feld4 gesendete Pakete berücksichtigen
-
to - An Host in Feld3 und Feld4 gesendete Pakete berücksichtigen
-
both - Kombiniert from- und to-Operationen
-
Dateiname - Falls logfile in Feld1 angegeben ist
Feld3 kann einen der folgenden Einträge enthalten:
-
host - Ein Rechnername
-
port - Eine Portnummer
-
mhosts - Mehrere Hosts, die mit einer partiellen IP-Adressennotation beschrieben werden
Je nach Wert von Feld3 ist Feld4 ein Rechnername, eine Portnummer oder ein Dienstname (wie z.B. ftp oder telnet), oder eine Reihe mehrerer IP-Adressen, die partielle IP-Adressennotation verwenden. Feld5 ist optional, kann aber eine Portnummer sein, falls Feld3 entwederhost oder mhosts ist. Das folgende Beispiel soll das Dateiformat verdeutlichen. Nehmen wir folgende Konfigurationsdatei:
select from host 198.62.73.4
select to host www.forbidden.com
select both mhosts 198.62.73.
deselect both port 80
Diese Funktion führt folgende Aktionen aus:
-
Alle von der IP-Adresse 198.62.73.4. gesendeten Pakete aufzeichnen.
-
Alle an den Rechnernamen www.forbidden.com gesendeten Pakete aufzeichnen
-
Alle Pakete, die an oder von allen Hosts im IP-Adressenbereich 198.62.73.0 bis 198.62.73.255 gesendet wurden, aufzeichnen.
-
Pakete an oder von einem Webserver ignorieren (Port 80 ist der Standardport für das HTTP-Protokoll).
-
Alle Daten werden in die Datei sniffit.log protokolliert.
Verwenden von tcpdump
Bei tcpdump handelt es sich um ein weiteres Paketüberwachungsprogramm. Im Gegensatz zu Sniffit und Netwatch gibt es jedoch die Header von Paketen an einer Netzwerkschnittstelle in Echtzeit aus, anstatt Statitiken über einen bestimmten Zeitraum anzusammeln und Zusammenfassungsinformationen anzuzeigen. Darüber hinaus bietet tcpdump größere Kontrolle über die ausgewählten Pakete und die angezeigten Informationen als Sniffit oder Netwatch.
Geben Sie zur Verwendung von tcpdump folgenden Befehl ein:
# tcpdump [-i Schnittstelle] [Ausdruck]
Schnittstelle bezeichnet dabei eine beliebige aktive Ethernet-Netzwerkschnittstelle in Ihrem System. Wenn Sie keine Schnittstelle angeben, verwendet tcpdump die aktive Schnittstelle mit der niedrigsten Nummer. So wird z.B. eth0 anstelle von eth1 überwacht, wenn beide aktiv sind.
Ausdruck ist ein boolescher Filter, der den Host, den Typ, die Richtung und das Protokoll, die Sie überwachen möchten, angibt. Die Filtersprache von tcpdump ist sehr umfangreich, weshalb in diesem Handbuch nur die grundlegende Nutzung angesprochen wird. Eine Beschreibung der vollständigen Filtersyntax finden Sie auf der Manpage von tcpdump.
Um anzugeben, dass Sie nur den Datenverkehr auf einem bestimmten Host überwachen möchten, verwenden Sie das Schlüsselwort host, gefolgt vom Rechnernamen, wie im nachfolgenden Beispiel:
# tcpdump host queenbee
Diese Anweisung zeigt alle an und vom Host namens queenbee gesendeten Pakete an. Die nächste Anweisung beschränkt die Anzeige auf alle von queenbee gesendeten Pakete:
# tcpdump src host queenbee
Verwenden Sie analog dazu den Modifizierer dst (für destination, Ziel) anstelle von src, um nur die Pakete anzuzeigen, die an den angegebenen Host gesendet werden. Die nächste Anweisung zeigt den Datenverkehr zwischen den Hosts queenbee und hive an:
# tcpdump host queenbee and hive
Mit den Modifizierern src und dst können Sie weiterhin festlegen, welche Art von Datenverkehr angezeigt werden soll. Beachten Sie, dass dieser Filterausdruck and verwendet, um tcpdump anzuweisen, sowohl Pakete von queenbee als auch von hive anzuzeigen. Mit or und not sowie Klammern haben Sie weiterhin die Möglichkeit, komplexere Filterausdrücke zu erstellen.
Angenommen, Sie möchten den FTP-Datenverkehr überwachen, der über Ihr Internetgateway läuft. Verwenden Sie zunächst das Schlüsselwort gateway anstelle von host. Dies ist deshalb nötig, da die IP-Adresse des Quell- oder Zielhosts nicht identisch mit der Quell- oder Zieladresse des Ethernets ist. Um nur FTP-Pakete aufzuzeichnen, verwenden Sie das Schlüsselwort port, um die angezeigten Pakete auf diejenigen zu begrenzen, die als Ziel oder Ursprung einen FTP-Port haben. Angenommen, Ihr Gateway hat die Bezeichnung netmonster. Verwenden Sie die folgende Anweisung, um den FTP-Datenverkehr aufzuzeichnen.
# tcpdump 'gateway netmonster and (port ftp or ftp-data)'
Bei diesem Filter schützen die einzelnen Anführungszeichen den Ausdruck vor einer Fehlinterpretation durch die Shell.
Wie bereits erwähnt, bietet die Filtersyntax von tcpdump wesentlich mehr Optionen, als in diesem Handbuch behandelt werden. Allgemein lässt sich sagen, dass Sie spezifische Protokolle filtern können sowie spezifische Pakettypen, die von einem bestimmten Protokoll transportiert werden. Kurzum: tcpdump ist ein leistungsfähiges Tool, weshalb Ihnen dringend empfohlen wird, die Dokumentation zu lesen und zu experimentieren. Tabelle See Befehlszeilenoptionen von tcpdump. enthält einige nützliche Befehlszeilenoptionen, die in tcpdump möglich sind.
Befehlszeilenoptionen von tcpdump
|
Option
|
Beschreibung
|
|
-c Anzahl
|
Nach Empfang von Anzahl von Paketen beenden
|
|
-F Datei
|
Filterausdruck aus Datei lesen
|
|
-i Schnittstelle
|
Pakete auf Schnittstelle ausgeben
|
|
-n
|
Adressen nicht in Namen konvertieren
|
|
-t
|
Keinen Zeitstempel für jede Ausgabezeile ausgeben
|
|
-w Datei
|
Rawpakete in Datei schreiben, anstatt diese anzuzeigen
|
Die Ausgabe vontcpdump ist je nach Protokoll unterschiedlich. Es folgt eine kurze Besprechung des Formats im Umgang mit TCP-Paketen. Hierbei seien Sie wiederum auf die Manpage verwiesen, die eine umfassende Erklärung des Ausgabeformats jedes Protokolls, komplett mit Beispielen, enthält.
Nehmen wir den folgenden tcpdump-Befehl:
# tcpdump -N -c 10 -n -t host dhcp236 and phoenix
Mit diesem Befehl wird die Anzeige der nächsten zehn Pakete (-c 10) angefordert, die zwischen den Hosts dhcp236 und phoenix übertragen werden. Folgende Parameter machen die Ausgabe lesbarer: -t unterdrückt den Zeitstempel, und -N unterdrückt schließlich die Ausgabe vollständiger Domainnamen. Es werden nur Rechnernamen gedruckt. Die Ausgabe wird im folgenden Listing wiedergegeben:
dhcp236.bootpc > phoenix.bootps: xid:0xc1a5022d secs:5 C:dhcp236 [|bootp]
dhcp236.1527 > phoenix.pop3: S 1385763770:1385763770(0) win 16060 <mss 1460,sackOK,timestamp \ 1575411[|tcp]> (DF)
phoenix.pop3 > dhcp236.1527: S 2788306362:2788306362(0) ack 1385763771 win 16352 <mss 1460>
dhcp236.1527 > phoenix.pop3: . ack 1 win 16060 (DF)
phoenix.pop3 > dhcp236.1527: P 1:57(56) ack 1 win 16352 (DF)
dhcp236.1527 > phoenix.pop3: . ack 57 win 16060 (DF)
dhcp236.1527 > phoenix.pop3: P 1:13(12) ack 57 win 16060 (DF)
phoenix.pop3 > dhcp236.1527: P 57:98(41) ack 13 win 16352 (DF)
dhcp236.1527 > phoenix.pop3: P 13:27(14) ack 98 win 16060 (DF)
phoenix.pop3 > dhcp236.1527: . ack 27 win 16338 (DF)
Die Ausgabe, die über eine Zeile läuft, wird durch ein \ angezeigt. Das allgemeine Format einer TCP-Protokollzeile lautet:
src > dst: flags sequence-num ack window urgent options
src und dst sind die Quell- und Zielhosts. Wie aus dem Listing zu ersehen ist, wechselt sich die Ausgabe für den Quell- und Zielhost ab. Jeder Rechnername wird von einer Portnummer gefolgt, die dann bei Bekanntwerden in einen Dienstnamen konvertiert wird. Beispiel: phoenix.pop3 würde als phoenix.110 ausgegeben, falls im Beispiel der Parameter -n zur Unterdrückung der Konvertierung von Nummen in Namen verwendet werden würde.
Das S in der zweiten Zeile gibt an, dass die Flag SYN gesetzt wurde. Andere Flags sind F (FIN), P (PUSH), R (RST) oder ., was bedeutet, dass keine Flags gesetzt wurden. sequence-num ist die Sequenznumer dieses Pakets relativ zu anderen Paketen sowie die Anzahl der Datenbyte, die in diesem Paket enthalten sind. Die Notation lautet erstes:letztes(Anzahl_Bytes), also bedeutet z.B. 1385763770:1385763770(0), dass diese Sequenz keine Datenbyte enthielt, und 1:57(56) in der fünften Zeile, dass Byte 1-57 insgesamt 56 Datenbyte enthielten.
Ack gibt die nächste Sequenznummer an, die erwartet wird. In der sechsten Zeile gibt ack 57 an, dass dhcp236 als nächstes das Datenbyte erwartet. In der achten Zeile ist zu erkennen, dass phoenix seine Übertragung tatsächlich mit dem 57sten Byte beginnt. (57:98(41)). Der Wert nach win bezeichnet die Größe des Empfangspuffers am anderen Ende der Verbindung. Wie in Zeile 9 zu erkennen ist, bedeutet win 16060, dass dhcp236 16060 Bytes Empfangspufferplatz zugewiesen hat.
urg bezeichnet, dass das Paket dringende Daten enthält. Das letzte Feld enthält alle TCP-Optionen, die im Paket gesetzt wurden. Beispiel: Das dritte Paket (dritte Zeile) forderte eine maximale Segmentgröße von 1024 Byte an.
Wenn Sie jetzt glauben, dass Sie einen Einblick in die Funktionsweise des TCP-Protokolls benötigen, um die Ausgabe von tcpdump verstehen zu können, haben Sie Recht. Leider kann in diesem Handbuch nicht annähernd darauf eingegangen werden. Im Abschnitt "Zusätzliche Ressourcen" am Ende des Kapitels erhalten Sie eine Liste empfohlener Referenzquellen.
Verwenden von Sniffit
