EMCO Ping Monitor ist eine Client/Server-Monitoring-Lösung, die das Internet Control Message Proto­col (ICMP) ver­wendet, um die System­verfügbarkeit zu ver­folgen. Die Version 7 führt eine erwei­terte Web-Konsole ein und bietet zudem qualitäts­basierte Statistiken sowie den Download von Ping-Rohdaten.

Seit vSAN 6.5 kann man einen alter­nativen VMkernel-Port defi­nieren, der die Daten über­trägt, welche für den Zeugen be­stimmt sind. Diese Tren­nung vom vSAN-Traffic eröff­net die Mög­lichkeit, die Daten­knoten in einem 2-Node-Cluster direkt zu ver­binden. Dadurch ent­fällt die Not­wendig­keit für einen Highspeed-Switch.

Mit Wireshark kann man auch kom­plette Kommu­nikations­ströme nach­ver­folgen, also alle Pakete filtern, die eine spezi­fische Inter­aktion zwischen zwei Sys­temen dar­stellen. Dazu muss man erst ein Paket finden, das zur Inter­aktion zwischen den beiden End­punkten gehört und darauf einen Ver­bindungs­filter an­wenden.

Mittschnitt- bzw. Capture-Filter werden in Wireshark primär verwendet, um die Größe einer Paket­erfassung zu reduzieren, sind aber weniger flexibel. Anzeige­filter dagegen blenden im Anschluss an einen (vollständigen) Mitschnitt bestimmte Pakete wieder aus. Dieser Beitrag zeigt, wie man diese Filtertypen nutzt.

Als Basis für diese Ana­lyse dient eine FTP-Sitzung, bei der wir be­wusst auf den ver­schlüssel­ten Modus ohne TLS oder SSH/Public-Key ver­zichten. Dies gibt uns Gelegen­heit zu demon­strieren, wie ein­fach Hacker mit Wireshark solche Infor­mationen ab­fangen und bei­spiels­weise an das FTP-Pass­wort ge­langen können.

In einer TCP-Session erkennt der Em­pfänger an­hand von Sequence Numbers, ob Pakete in der rich­tigen Reihen­folge bzw. mehr­fach ein­treffen. Mit Ack­nowledg­ments be­stätigt er den korrek­ten Empfang oder veran­lasst eine erneute Über­tragung. Dieser Vor­gang lässt sich in Wireshark gut nach­voll­ziehen.

Neben UDP ist TCP das meist­ver­wendete Proto­koll der TCP/IP-Familie auf der OSI-Schicht 4. Es arbeitet ver­bindungs­orientiert, wozu es eine Sitzung aufbaut. Dies passiert mit Hilfe eines 3-Wege-Hand­shakes. Die folgende An­leitung zeigt, wie man diesen Hand­shake für eine FTP-Kommu­nikation in Wireshark visualisiert.

In vSphere sind wie in nahezu allen Service-orientierten Software-Architekturen viele Fehler­symp­tome auf Netzwerk­probleme zurück­zuführen. Das gilt auch für Storage-Fehler, wenn Speicher über das Netz­werk ange­bunden ist. Daher enthält vSphere eine Reihe von Tools zur Diagnose des Netz­werks.

Dieser Beitrag zeigt anhand von Ping, wie sich Mit­schnitte des Netz­werk-Traffics in Wire­shark aus­werten lassen. Das Sniffing-Tool erlaubt es dem Anwender durch die Auf­teilung des Fensters, sich schnell durch die ver­schie­denen Schich­ten des Netz­werk-Stacks zu hangeln und detail­lierte Infor­mationen auszu­lesen.

Für den erfolg­reichen Einsatz von Wireshark (oder Sniffern wie tcp-dump) ist es not­wendig, dass man sich im TCP/IP- bzw. im OSI-Schichten­modell sicher bewegt. Die grund­legenden Zusammen­hänge kann man sehr schön in Wireshark verifi­zieren, ganz unab­hängig vom trans­portieren Proto­koll und dem Einsatz­zweck.