Mein Netzwerk, die Blackbox!
Werbung
1 Mein Netzwerk, die Blackbox! präsentiert von Rolf Leutert www.wireshark.ch © Leutert NetServices 2013 2 Instruktor: Rolf Leutert, Dipl. Ing. Leutert NetServices Zürich-Airport, Switzerland • Netzwerk Analyse & Troubleshooting • Protokoll Schulungen TCP/IP, WLAN, VoIP, IPv6 • Wireshark® Certified Network Analyst 2010 • Wireshark® Instructor since 2006 • Sniffer® certified Instructor since 1990 [email protected] www.wireshark.ch © Leutert NetServices 2013 3 Der Vorher-Nachher Effekt Wir alle kennen diese Vorher-Nachher Vergleiche • Nicht immer ist Nachher besser als Vorher! • Und manchmal hat man das Gefühl, dass die Fotos vertauscht wurden! © Leutert NetServices 2013 4 Der Vorher-Nachher Effekt Auch bei Netzwerken existiert dieser Effekt: Auch da ist Nachher nicht immer besser als Vorher Vor … versus Nach… • dem Netzausbau • dem Software-Upgrade • der Anschaffung neuer Hardware • der Installation der neuen Anwendung • dem Anschliessen von Wireshark ans Netzwerk © Leutert NetServices 2013 5 Der Vorher-Nachher Effekt in Ihrem Netzwerk Vorher! Ohne Wireshark Black Box © Leutert NetServices 2013 6 © Leutert NetServices 2013 7 Was ist Wireshark? • Der weltweit am meisten eingesetzte Netzwerk Protocol Analyzer • Open-Source Software, d.h. kostenlos einsetzbar, Business oder Home • Decodiert über 1‘200 verschiedene Netzwerk-Protokolle • Unterstützt alle gängigen Betriebssysteme: Windows, Unix, Linux, MAC • Von www.wireshark.org in 10 Minuten heruntergeladen und installiert © Leutert NetServices 2013 8 Was kann Wireshark? • Zeichnet Datenpakete auf und speichert diese in einem Trace File • Analysiert und präsentiert sämtliche Protokoll-Details • Bietet ausgeklügelte Capture- und Display-Filtermöglichkeiten • Ein TCP Expert-System unterstützt die Datenfluss-Analyse • Graphische Darstellungen erleichtern die Analyse zusätzlich Analysieren wichtiger Phasen beim Aufstarten und Verbindungsaufbau: • DHCP • DNS • ARP • TCP • HTTP Dynamisches Konfigurieren des Clients mit IP-Parametern Suche der IP-Adresse nach der Eingabe eines Namens Suche der MAC-Adresse zugehörend zur IP-Adresse Verbindungsaufbau mit dem Web-Server Zugriff auf eine Webseite © Leutert NetServices 2013 9 Dynamic Host Configuration Protocol (DHCP) Der Client sucht nach einem DHCP Server für die IP-Konfiguration DNS-Server Enterprise Network Client 0.0.0.0 Router und DHCP Relay DHCP-Server Discover Discover Offer Offer Request Request Acknowledge Acknowledge © Leutert NetServices 2013 10 Dynamic Host Configuration Protocol (DHCP) Was alles schief laufen kann: Mögliche Ursachen: • Der Client erhält kein Angebot • Kein Adress-Range auf dem Server • Der DHCP Adress-Range ist voll • Keine Helper Adresse im Router • Der Client hat falsche Werte • Konfiguration auf dem Server • Ein anderer Client „spielt“ Server • Statische Konfiguration im Client • Der Client startet nicht • Die Adresse ist bereits vorhanden • Der Client verlangt spez. Parameter © Leutert NetServices 2013 11 Dynamic Host Configuration Protocol (DHCP) Der Client sucht nach einem DHCP Server für die IP-Konfiguration © Leutert NetServices 2013 12 Domain Name System (DNS) Protocol Der Client sucht die IP-Adresse zu einem Namen (z.B. www.wireshark.ch) Was alles schief laufen kann: Mögliche Ursachen: • Client erhält keine IP-Adresse • Der Server antwortet nicht • Falscher DNS Eintrag auf Client • Der Server hat keinen Eintrag • Der Client hat statische Einträge © Leutert NetServices 2013 13 Address Resolution Protocol (ARP) Der Client sucht die Hardware-Adresse (MAC) zu einer IP-Adresse Network 192.168.0.0/24 Server IP 192.168.0.20 Client MAC 00:0D:60:B0:38:63 IP 192.168.0.203 • Client sendet ARP Request mit ‘Target IP Address’ 192.168.0.20 • ARP Requests sind Broadcasts und erreichen alle Stationen im Subnetz © Leutert NetServices 2013 14 Address Resolution Protocol (ARP) Der Client sucht die Hardware-Adresse (MAC) zu einer IP-Adresse Was alles schief laufen kann: Mögliche Ursachen: • Client erhält keine Antwort • Der Ziel Host ist nicht eingeschaltet • Client hat falsche Subnetz Maske • Client hat keinen Default Gateway • Client hat statische Einträge © Leutert NetServices 2013 15 Transmission Control Protocol (TCP) Die drei Phasen der gesicherten TCP Datenübertragung: Client Application Data + IP Zielhost TCP SYN SYN; Ack Ack Data Ack Verbindungsaufbau: Three-Way Handshake Datenübertragung: Data; Acknowledges Verbindungsabbau: Four-way Handshake Application Data Data; Ack Data; Ack Ack FIN Ack FIN Ack © Leutert NetServices 2013 Data TCP Server 16 Wo platziere ich Wireshark? Router Firewall Remote Network Switch TCPDump Local Network Switch Switch • Switch mit Span/Mirrorport • Wireshark auf Client • Wireshark auf Server • TCPDump auf Firewall © Leutert NetServices 2013 17 Wo platziere ich Wireshark? • Auf speziellen Endgeräten wie VoIP Phones, Access Points usw. lässt sich Wireshark nicht installieren • Einige Span/Mirrorports können zudem Startup Protokolle wie CDP oder LLDP nicht kopieren. Abhilfe: Einfügen eines speziellen Monitoring Switches mit Power Over Ethernet (PoE) pass-through. www.wireshark.ch © Leutert NetServices 2013 18 Wo platziere ich Wireshark? Gleichzeitige Aufzeichnung an zwei Messpunkten © Leutert NetServices 2013 19 Transmission Control Protocol (TCP) Die drei Phasen der gesicherten TCP Datenübertragung: © Leutert NetServices 2013 20 Transmission Control Protocol (TCP) Was alles schief laufen kann: Mögliche Ursachen: • Server akzeptiert SYN nicht • Keine Appl. auf diesem TCP Port • Server ist überlastet • Schlechter Durchsatz • Netzwerk verliert Frames • Server überlastet • Client überlastet • TCP Session bricht ab • Viele, meistens nicht das Netzwerk © Leutert NetServices 2013 21 TCP Analyse mit dem Wireshark Expert • • • • Der TCP Durchsatz wird durch drei Hauptkomponenten beeinflusst. Der Wireshark Expert bietet gute Unterstützung für die Optimierung. Expert Meldungen geben konkrete Hinweise auf Problemsituationen. Die TCP Analyse ermöglicht das Lösen von Finger Pointing Situationen. Network Client Server © Leutert NetServices 2013 22 TCP Analyse mit dem Wireshark Expert Grafische Darstellung von TCP-Verbindungen Vorher Nachher © Leutert NetServices 2013 23 Hypertext Transfer Protocol (HTTP) HTTP basiert auf einem Request- Response Dialog in Textformat © Leutert NetServices 2013 24 Hypertext Transfer Protocol (HTTP) HTTP 1.1 Request methods (commands) • GET - Dient der Anforderung einer HTML-Datei oder einer anderen Quelle. Die Quelle wird durch die URL adressiert. • POST – Wird zur Übermittlung von Formular-Daten an ein Programm oder Skript verwendet. Die Daten werden im Entity-Bereich getrennt durch eine Leerzeile vom Header übertragen. • HEAD – Fordert nur den Header (Metadaten) der URL an. (debugging) • PUT - Erlaubt das Erstellen oder Ändern von Dateien auf dem Server. • DELETE - führt zur Löschung der Datei, die durch die URL adressiert ist. • OPTIONS - Dient zur Ermittlung von Kommunikationsoptionen durch den HTTP-Client. • TRACE - Dient der Verfolgung von HTTP-Requests, die zwischen Client und Server über einen oder mehrere Proxy-Server laufen. Im Header-Feld "Via" des HTTP-Responses sind alle zwischengeschaltete Server protokolliert. • CONNECT - Der Proxy-Server baut einen Tunnel zum angegebenen Rechner auf und übermittelt darin Daten und Kommandos zwischen Client und Server. © Leutert NetServices 2013 25 Hypertext Transfer Protocol (HTTP) HTTP Response Codes: Dies ist eine Auswahl, total sind gegen 100 Response Codes definiert © Leutert NetServices 2013 26 Hypertext Transfer Protocol (HTTP) Filtern auf die Response Codes ungleich 200 zeigt HTTP Fehlermeldungen © Leutert NetServices 2013 27 Danke für Ihre Aufmerksamkeit Ich hoffe Sie haben auch einen Vorher - Nachher Effekt Gerne begrüssen wir Sie an einem Kurs von Leutert NetServices Grundkurse bei Studerus: • NET-Analyse mit Wireshark • IPv6-Protokoll Einführung LAB-Kurse bei HSR: (Hochschule Rapperswil) • TCP/IP Protokolle • WLAN Analyse • IPv6 Praxisworkshop • VoIP Protokolle © SeaPics.com Registrieren sie sich für den technischen Newsletter www.wireshark.ch © Leutert NetServices 2013
