Pcap-Analyzer: Pcap-Filter des Allegro Network Multimeter
Pcap-Filter zur Analyse großer Capture-Dateien
Zurück zu Teil 1: Wireshark-Filter
Vorselektion des Traffics mit dem Allegro Network Multimeter
Nachdem nun eine Reihe von wichtigen Techniken vorgestellt wurde, wie man sich umfangreichen Pcap-Dateien nähern kann, um sie besser zu beherrschen, wird im zweiten Teil beschrieben, welche Möglichkeiten das Allegro Network Multimeter bei dieser Aufgabe bietet.
Das Allegro Network Multimeter ersetzt dabei Wireshark nicht vollständig. Es ist allerdings dazu prädestiniert, Pcap-Dateien für die tiefere Paketanalyse mit Wireshark vorzufiltern.
Das Allegro Network Multimeter misst den Traffic und zeigt alle Metadaten in Echtzeit an – dies gilt sowohl für Live-Daten als auch für vergangenen Netzwerkverkehr. Das Besondere an dem Tool ist die Geschwindigkeit, in der es die Daten verarbeitet. Dieser Umstand kommt dem Anwender auch bei der Pcap-Analyse zu Gute.
Grundsätzlich hält das Allegro Network Multimeter zwei unterschiedliche Funktionalitäten bereit. Zum einen ermöglicht es, vor der Pcap-Erstellung den Verkehr individuell und übersichtlich zu filtern, zum anderen lassen sich bereits vorhandene Pcap-Dateien für die Analyse mit Wireshark zur Vorselektion auf die Appliance aufspielen.
Selektives Pcap-Capture aus Daten auf dem Allegro Network Multimeter
An erster Stelle wird hier auf die Funktion als Vorfilter eingegangen. Mit dem Allegro Network Multimeter kann man sich dank umfangreicher Filterfunktionen und Datenkorrelationen einfach und schnell an die Stelle navigieren, wo unerwarteter Traffic zu sehen ist. Dort kann direkt von dem ausgewählten Netzwerkverkehr, wo den Fehler vermutet wird, ein Pcap gespeichert werden. Dieses stark reduzierte Pcap-File steht dann zur schnelleren Analyse mit Wireshark zur Verfügung.
Die Capture-Funktion ist in allen Analyse-Modulen des Allegro Network Multimeter integriert. Beginnend vom Dashboard, wo man einen ersten Überblick über die wichtigsten Parameter des aktuellen Netzwerkverkehr erhält, kann man sich durch die verschiedenen Layer navigieren und über die Zeitleiste und Graphen immer genauer zum Problem vordringen. In den meisten Sektionen des User-Interface sieht man den Pcap-Download-Knopf, mit dem man den angezeigten, selektierten Netzwerkverkehr ganz einfach als Browser-Download capturen kann, egal, ob man z.B. ein Pcap von den MAC-Statistiken oder ein Pcap von den HTTP-Protokollen downloaden möchte.
Will man z.B. dem Problem auf den Grund gehen, warum das VoIP-Gespräch letzte Woche Mittwoch so abgehackt war, navigiert man zum SIP-Modul, stellt den gewünschten Zeitbereich ein und sortiert die Anrufe aus diesem Zeitbereich nach Jitter oder filtert Sie direkt nach Telefonnummer. Den problematischen Anruf kann man nun per Pcap-Download zur weiteren Paketanalyse mit Wireshark downloaden.
Das Besondere daran ist nicht nur, dass so der Verkehr beliebig vorselektiert und die Paketanalyse mit Wireshark im Speziellen, sondern auch, dass Ihr Troubleshooting im Allgemeinen mithilfe vom Allegro Network Multimeter um ein Wesentliches beschleunigt werden kann. Die Zeit, bis ein Pcap erstellt ist, reduziert sich auf einen Bruchteil.
Außerdem bedarf es neben grundlegenden Administrator-Kenntnissen kein weiteres Know-how, um das Tool zu bedienen. Die meisten Filter sind vorgefertigt und müssen lediglich angewählt werden. Darüber hinaus lassen sich in der Befehlszeile auch hier Operatoren miteinander kombinieren.
Vorhandene Pcap-Dateien zum Filtern auf das Allegro-Tool aufspielen
Die zweite Funktionalität, die das Allegro Network Multimeter bereithält, um den Umgang mit Wireshark zu beschleunigen, ist das Aufspielen von Pcaps.
Gab es nicht die Möglichkeit, den Netzwerkverkehr vor dem Capturen vorzuselektieren, z.B. indem man von Dritten ein Pcap erhält, das analysiert werden soll, kann die Datei problemlos im Nachhinein über USB oder per Drag and Drop im Browser auf das Allegro Network Multimeter aufspielt und das Tool wie gewohnt genutzt werden.
Das Allegro Network Multimeter weist eine sehr hohe Einspielgeschwindigkeit auf, so dass sich Dateien sehr schnell öffnen lassen. Das Besondere dabei ist hier, dass man schon während des Einspielens auf die Daten zugreifen kann, die bereits aufgespielt sind. Dies beschleunigt die Analyse noch einmal um ein Vielfaches. Vor allem fällt die Wartezeit weg, die normalerweise überbrückt werden muss. So kann man beim Thema bleiben und läuft nicht Gefahr, in der Wartezeit abgelenkt zu werden.
Im Allegro Network Multimeter kann dann wie oben beschrieben ein reduziertes Pcap erneut exportiert und im Wireshark weiter analysiert werden.
Fazit
Ermüdendes Warten, bis eine Pcap-Datei geöffnet ist und dann im Dschungel von Wireshark-Daten die wichtigen Informationen herauszumeißeln, gehört der Vergangenheit an.
In diesem Artikel wurden mehrere Filterfunktionen erläutert, die der Pcap-Analyzer Wireshark zur Reduktion der angezeigten Daten zur Verfügung stellt. Dabei wurde deutlich, dass bei einigen der tiefergehenden Filter auch tiefergehende Vorkenntnisse vorausgesetzt werden.
Im zweiten Teil wurde auf das von Allegro Packets entwickelte Allegro Network Multimeter eingegangen, das eine umfangreiche Palette an Filterfunktionen bereithält und diese mit wenigen Klicks ansteuern lässt.
Filter lassen sich so ohne zusätzliche Syntaxkenntnisse einfach anwenden. Darüber hinaus beschleunigt die Anwendung des Allegro Network Multimeter das eigene Troubleshooting, da damit der Fehler schnell einkreist werden kann. Ein von der Problemstelle aufgezeichnetes Pcap reduziert den Aufwand der weiterführenden Paketanalyse um ein Vielfaches, da das Allegro Network Multimeter Pcap-Dateien wesentlich schneller bearbeiten und einlesen kann. Schon während des Einleseprozesses kann mit den Daten gearbeitet werden. Oft erübrigt sich auch die Detail-Paketanalyse mit Wireshark, da das Problem bereits mit dem Allegro Network Multimeter erkannt wird und Lösungsansätze ermittelt werden.