Traffic-Monitoring

[hddripper]

hi,

ab nächster woche sollen wir(5 Leute) diese projektaufgabe in der berufsschule bearbeiten:

Erstellen Sie auf der Basis des Artikels " Verkehrskontrolle " in der ct 7/2003 eine Lösung auf Linux- Basis, welche den gesamten Datenverkehr eines geswichten Netzes am Monitorport des Switches anlysieren kann. Die Analyse soll grafisch aufbereitet an einem anderen Arbeitsplatz verfügbar gemacht werden. Sinnvolle Erweiterungen der Lösung können implementiert werden. Dokumentieren Sie mögliche Einsatzszenarien und auch die Vor- und Nachteile im Vergleich mit HW - Lösungen.

schön wärs wenn jemand hier seine erfahrungsberichte bei der durchführung, mögliche tücken und weiteres posten könnte
dabei sollte beachtet werden das wir linux-newbies sind.

 

[devilz]

schau dir mal Clark Connect an ... ist eine Router Software auf Redhat basis.

Beinhaltet alles was man sich wünscht

http://www.clarkconnect.com/

 

[Steve]

ntop das alles.

 

[hddripper]

ttt

wir sollen das aber mit genau dem tele traffic tapper unter linux (welches wissen wir noch nicht), wie in dem artikel beschrieben, machen

 

[devilz]

Ich lese die CT nimmer, deshalb keine Ahnung was die da schreiben

 

[bartlaby]

also zum traffic auswerten kenn ich nur mrtg
Beispiel: http://mrtg.quakenet.org/splatterworld1.de.quakenet.org.html

Is nicht ganz einfach, aber geht

 

[-XomeX-]

Hi,

Da könnte dir eventuell auch ettercap nützlich sein, das ist ein super tool für ein geswichten Netzwerk…
Mit der Auswertung wird wohl eher nichts, aber auf jeden fall kannst du den gesamten Datenverkehr analysieren, ob das legal ist…

>> http://ettercap.sourceforge.net

cya
-XX-

 

[tomvomland]

Also, den tele traffic tapper kenne ich leider nicht.

Die Aufgabe hat aber einen üblen technischen Haken:

Wenn Du ein geswitchtes Netz über einen Monitoring-Port sniffen willst, musst Du Dir im Klaren sein, dass es nicht möglich ist, das normale Verhalten eines solchen Netzes unter Last zu erfassen.
Die Erklärung:
Alle hosts, die an einem Switch hängen, können sich mit 100Mbit fullduplex unterhalten. Angenommen ausser dem Rechner am Monitoring-Port hängen noch vier andere Boxen am Switch und weiterhin angenommen, diese vier Rechner nutzen gerade jeweils paarweise miteinenander die 100Mbit fullduplex aus, dann müssten am Monitoring-Port schon 200Mbit fullduplex ankommen, wenn Du alles mitkreigen willst. Das geht natürlich nicht.
Soweit ich weiss, gibt es Switche, die ihre Backplane sowiet drosseln können, dass der Monitoring-Port wieder alles mitbekommen kann. Dann können Die anderen hosts am Switch aber nicht mehr mit der vollen Bandbreite kommunizieren und Du erhälst keine aussagefähige Messung, sondern allenfalls eine brauchbare Protokollanalyse.

Ihr solltet eure(n) Lehrer(in) auf diese Unstimmigkeit in der Aufgabenstellung hinweisen oder mal Fragen, ob vielleich nicht wirklich nur eine Protokollanalyse gefragt ist. Dann frag' ich mich allerdings, was ihr da grafisch aufbereiten sollt.

cu
tom

 

[wedge]

Also wenn ich das richtig gelesen habe geht es in der ct darum einmal den Verkehr nach Protokollen aufzuschlüssen und einmal nach Hosts. Es soll also nur die Menge ermittelt werden nicht der inhalt der Daten.
Protokolle sind immer Traffic/Zeit Diagramme und dann jeweils nach Protokoll(Port) bzw Host aufgeschlüsselt. Die Grafiken sollen angeblich von ttt selbst erstellt werden.

Bin aber leider nicht besonders oder sagen wir gar nicht bewandert in Linux, deshalb dürfte das ein ziemliches Problem werden.

Soft-Link 0307220 für ttt

 

[tomvomland]

Original geschrieben von wedge
Also wenn ich das richtig gelesen habe geht es in der ct darum einmal den Verkehr nach Protokollen aufzuschlüssen und einmal nach Hosts. Es soll also nur die Menge ermittelt werden nicht der inhalt der Daten.
Protokolle sind immer Traffic/Zeit Diagramme und dann jeweils nach Protokoll(Port) bzw Host aufgeschlüsselt. Die Grafiken sollen angeblich von ttt selbst erstellt werden.

Bin aber leider nicht besonders oder sagen wir gar nicht bewandert in Linux, deshalb dürfte das ein ziemliches Problem werden.

Soft-Link 0307220 für ttt

Also...

wenn Ihr Die Menge des Traffics pro Zeiteinheit ermitteln sollt, ist das genau das, was durch die Art der Messung verfälscht wird.... (siehe Heisenberg)

und....
Protokolle sind definitiv keine "Traffic/Zeit Diagramme" sondern lediglich die Beschreibung und die Regeln der Datenübertregung, man könnte auch sagen die "Sprache" der Hosts auf Netzwerkwebene.

Den Artikel habe ich mir inzwischen angesehen; auch dort ist die Rede vom Monitoring-Port des Switches, leider ohne auf die, von mir Beschriebene, Bandbreiten-Problematik hinzuweisen. Der Einsatz des Tools auf einer Firewall oder einem Linux-Router würde besser funktionieren.

Wenn ich eure Probleme richtig deute, solltet Ihr im Internet (oder in einer gut sortierten Bücherei) nach TCP/IP- und ISO/OSI - Grundlagen suchen, um Ein tieferes Verständnis für die Zusammenhange bei der Netzwerkkommunikation zu erhalten.
Sehr Empfehlenswert dind hier die Bücher von O'Reilly

cu
tom