Packet Sniffing sollten Sie dann in Erwägung ziehen, wenn Ihre Netzwerkgeräte SNMP oder xFlow zur Messung von Bandbreitenauslastung nicht unterstützen, oder falls Sie die Bandbreitennutzung nach Netzwerkprotokollen und/oder IP-Adressen ausdifferenzieren müssen.

Anmerkung: Packet Sniffer Sensoren unterstützen Toplisten (Top-Kommunikatoren, Top-Verbindungen, etc.), siehe: Toplisten.

Wie funktioniert Packet Sniffing?

Wenn Sie wissen müssen, welche Programme oder IP-Adressen den Datenverkehr in Ihrem Netzwerk verursachen, können Sie einen sog. "Packet Sniffer" einsetzen. Dieser überprüft jedes einzelne Datenpaket auf dem Weg durch Ihr Netzwerk und protokolliert dieses.

clip0026

PRTG kann entweder diejenigen Datenpakete analysieren, die den Netzwerkadapter eines PCs passieren, oder es kann mit dem sog. Monitoring-Port eines Switches verbunden werden. Zur Berechnung der Bandbreitenauslastung inspiziert PRTG alle Datenpakete, welche die Netzwerkkarte des PCs passieren (im Bild links), oder die Datenpakete, die vom Monitoring-Port des Switches (im Bild rechts) mit seinem eingebauten Packet Sniffer an PRTG gesendet werden. Mit externen Sonden können Sie überall in Ihrem Netzwerk Packet Sniffer einbinden (siehe Multiple Sonden und externe Sonden).

Von allen vier Technologien zur Bandbreitenüberwachung, die vom PRTG angeboten werden (SNMP, WMI, NetFlow und Packet Sniffer), beansprucht Packet Sniffing die meiste Prozessorleistung und Netzwerkkapazität und sollte aus diesem Grund nur in kleinen oder mittleren Netzwerken, in größeren Netzwerken nur auf ausgewählten Computern oder auf Einzelrechnern verwendet werden.

Gründe für Packet Sniffing

Man muss sich unbedingt bewusst sein, dass mit einem Packet Sniffer ausschließlich Datenpakete überprüft werden können, welche die Netzwerkschnittstelle des Computers passieren, auf dem die PRTG-Sonde läuft. Dies genügt vollkommen, wenn Sie nur den Datenverkehr für dieses Gerät überwachen wollen (z.B. Ihren Webserver). In miteinander verbundenen Netzwerken wird nur der für ein spezielles Gerät vorgesehene Datenverkehr an dessen Netzwerkkarte geschickt. PRTG ist deswegen normalerweise nicht in der Lage, auch den Datenverkehr der anderen Maschinen im Netzwerk auszumachen.

Wenn Sie also auch den Datenverkehr anderer Geräte in Ihrem Netzwerk überwachen wollen, müssen Sie einen Switch verwenden, der über einen sog. "Monitoring-Port" oder über die Konfigurationsmöglichkeit "Port Mirroring" verfügt (Cisco nennt dies "Span"). In diesem Falle sendet der Switch eine Kopie aller Datenpakete, die ihn passieren, an den Monitoring-Port. Sobald Sie den PRTG-Server mit dem Monitoring-Port des Switches verbinden, kann PRTG den gesamten Netzwerkverkehr analysieren, der durch diesen Switch abgewickelt wird.

Eine alternative Möglichkeit ist es, den Computer, auf dem der PRTG-Server läuft, als Gateway für alle anderen Computer im Netzwerk einzurichten.

Die verschiedenen Packet Sniffer Sensortypen

PRTG bietet drei Sensortypen an, die auf Packet Sniffing basieren:

  • Packet Sniffer (Header): Überprüft die Header von Datenpaketen, um den Datenverkehr nach IP, Port, Protokoll etc. einzuordnen.
  • Packet Sniffer (Inhalt): Setzt Datenpakete zu Datenströmen zusammen und sieht sich den Dateninhalt der Ströme an, um den Datenverkehrtyp zu bestimmen (z.B. SMTP, HTTP, IMAP, file sharing, NETBIOS, etc.).
  • Packet Sniffer (Benutzerdef.): Überprüft und klassifiziert Datenpakete nach nutzerspezifischen Kriterien (header-basiert). Sie finden diesen Sensor in der Gruppe "Benutzerdefinierte Sensoren".

In den Sensoreinstellungen können Sie mit Sniffer-spezifische Einstellungen festlegen, welcher Datenverkehr überwacht werden soll (bestimmte Pakete, IP-Adressen, Ports etc.). Sie können "Einschließen" und "Ausschließen" Filter setzen und Kanaldefinitionen eingeben. Bitte beachten Sie die Kontexthilfe auf den Einstellungsseiten für weitere Informationen.

Packet Sniffing kann zwischen den folgenden Protokollen unterscheiden (einzustellen in der "Kanalkonfiguration" des Sensors):

  • Web-/WWW-Verkehr: HTTP, HTTPS
  • Datentransfer: FTP
  • Mail Traffic: IMAP, POP3, SMTP
  • Chat, Instant Messaging: IRC, AIM
  • Remote Control: RDP, SSH, Telnet, VNC
  • Network Services: DHCP, DNS, Ident, ICMP, SNMP
  • NetBIOS: NETBIOS
  • Verschiedene: Socks, SSL, OtherUDP, OtherTCP

Header-basiertes und inhaltsbasiertes Packet Sniffing im Vergleich

PRTG bietet zwei Basistechnologien für Packet Sniffing an:

  • Header-basiert: PRTG überprüft IP-Adressen sowie Quellports und Richtung der Daten zur Festlegung eines Protokolls. Dies ist zwar ein sehr schnelles, aber mitunter nicht sehr genaues Verfahren. Es ist z.B. nicht möglich, HTTP-Verkehr als solchen an anderen Ports als 80, 8080 und 443 zu erkennen.
  • Inhaltsbasiert: PRTG fängt TCP-Pakete ab, setzt die Datenströme wieder zusammen und analysiert den Inhalt der Daten anhand eines internen Regelsatzes, um den jeweiligen Datenverkehrstyp zu identifizieren. Dies ist ein sehr genaues Verfahren (es wird z.B. HTTP-Verkehr auf jeder Port-Nummer als solcher erkannt), benötigt jedoch erheblich mehr Prozessorleistung und Speicherplatz, besonders bei sehr hohem Datenaufkommen in der Netzwerkkarte.

Kurz zusammengefasst arbeitet das header-basierte Sniffing schneller aber unzuverlässiger, wohingegen inhaltsbasiertes Sniffing zwar genauer, aber belastender für die CPU ist.

Tools

Paessler Card Packet Counter: Zeigt Statistiken eines kurzen Zeitraumes für Datenpakete eines Netzwerkes, welche die lokale Netzwerkkarte passieren: http://www.paessler.com/tools/

Siehe auch:



Copyright © 1998 - 2012 Paessler AG
SolutionsContactSitemapPrivacy PolicyTerms