Pcap-Analyzer: Pcap-Filter des Allegro Network Multimeter

Pcap-Filter zur Analyse großer Capture-Dateien

Zurück zu Teil 1: Wireshark-Filter

Vorselektion des Traffics mit dem Allegro Network Multimeter

Nachdem nun eine Reihe von wichtigen Techniken vorgestellt wurde, wie man sich umfangreichen Pcap-Dateien nähern kann, um sie besser zu beherrschen, wird im zweiten Teil beschrieben, welche Möglichkeiten das Allegro Network Multimeter bei dieser Aufgabe bietet.

Das Allegro Network Multimeter ersetzt dabei Wireshark nicht vollständig. Es ist allerdings dazu prädestiniert, Pcap-Dateien für die tiefere Paketanalyse mit Wireshark vorzufiltern.

Das Allegro Network Multimeter misst den Traffic und zeigt alle Metadaten in Echtzeit an – dies gilt sowohl für Live-Daten als auch für vergangenen Netzwerkverkehr. Das Besondere an dem Tool ist die Geschwindigkeit, in der es die Daten verarbeitet. Dieser Umstand kommt dem Anwender auch bei der Pcap-Analyse zu Gute.

Grundsätzlich hält das Allegro Network Multimeter zwei unterschiedliche Funktionalitäten bereit. Zum einen ermöglicht es, vor der Pcap-Erstellung den Verkehr individuell und übersichtlich zu filtern, zum anderen lassen sich bereits vorhandene Pcap-Dateien für der Analyse mit Wireshark zur Vorselektion auf die Appliance aufspielen.

Selektives Pcap-Capture aus Daten auf dem Allegro Network Multimeter

An erster Stelle wird hier auf die Funktion als Vorfilter eingegangen. Mit dem Allegro Network Multimeter kann man sich dank umfangreicher Filterfunktionen und Datenkorrelationen einfach und schnell an die Stelle navigieren, wo unerwarteter Traffic zu sehen ist. Dort kann direkt von dem ausgewählten Netzwerkverkehr, wo den Fehler vermutet wird, ein Pcap gespeichert werden. Dieses stark reduzierte Pcap-File steht dann zur schnelleren Analyse mit Wireshark zur Verfügung.

Dashboard des Allegro Network Multimeter
Vom Dashboard des Allegro Network Multimeter zum vermuteten Fehler navigieren

Die Capture-Funktion ist in allen Analyse-Modulen des Allegro Network Multimeter integriert. Beginnend vom Dashboard, wo man einen ersten Überblick über die wichtigsten Parameter des aktuellen Netzwerkverkehr erhält, kann man sich durch die verschiedenen Layer navigieren und über die Zeitleiste/Graphen immer genauer zum Problem vordringen. Überall sieht man den Pcap-Download-Knopf, mit dem man den angezeigten, selektierten Netzwerkverkehr ganz einfach als Browser-Download capturen kann, egal, ob man z.B. ein Pcap von den MAC-Statistiken oder ein Pcap von den HTTP-Protokollen downloaden möchte.

Ein Beispiel: Will man z.B. dem Problem auf den Grund gehen, warum das VoIP-Gespräch letzte Woche Mittwoch so abgehackt war, navigiert man zum SIP-Modul, stellt den gewünschten Zeitbereich ein und sortiert die Anrufe aus diesem Zeitbereich nach Jitter oder filtert Sie direkt nach Telefonnummer. Den problematischen Anruf kann man nun per Pcap-Download zur weiteren Paketanalyse mit Wireshark downloaden.

SIP-Pcap

 

Das Besondere daran ist nicht nur, dass so der Verkehr beliebig vorselektiert und die Paketanalyse mit Wireshark im Speziellen und somit Ihr Troubleshooting im Allgemeinen um ein Wesentliches beschleunigt werden kann, sondern es ist auch die Geschwindigkeit, in der das Allegro Network Multimeter dies tut. Die Zeit, bis ein Pcap erstellt ist, reduziert sich auf einen Bruchteil.

Außerdem bedarf es neben grundlegenden Administrator-Kenntnissen kein weiteres Know-how, um das Tool zu bedienen. Die meisten Filter sind vorgefertigt und müssen lediglich angewählt werden. Darüber hinaus lassen sich in der Befehlszeile auch hier Operatoren miteinander kombinieren.

Vorhandene Pcap-Dateien zum Filtern auf das Allegro-Tool aufspielen

Die zweite Funktionalität, die das Allegro Network Multimeter bereithält, um den Umgang mit Wireshark zu beschleunigen, ist das Aufspielen von Pcaps.

Gab es nicht die Möglichkeit, den Netzwerkverkehr vor dem Capturen vorzuselektieren, z.B. indem man von Dritten ein Pcap erhält, das analysiert werden soll, kann die Datei problemlos im Nachhinein über USB oder per Drag and Drop im Browser auf das Allegro Network Multimeter aufspielt und das Tool wie gewohnt genutzt werden.

Das Tool weist eine sehr hohe Einspielgeschwindigkeit auf, so dass sich Dateien sehr schnell öffnen lassen. Das Besondere dabei ist hier, dass man schon während des Einspielens auf die Daten zugreifen kann, die bereits aufgespielt sind. Dies beschleunigt die Analyse noch einmal um ein Vielfaches. Vor allem fällt die Wartezeit weg, die normalerweise überbrückt werden muss. So kann man beim Thema bleiben und läuft nicht Gefahr, in der Wartezeit abgelenkt zu werden.

Im Allegro Network Multimeter kann dann wie oben beschrieben ein reduziertes Pcap erneut exportiert und im Wireshark weiter analysiert werden.

PCAP-Analyse und Statistiken der Analyse

 

Dies führte dazu, dass das Kundenzentrum der Krankenkasse die Anfragen und Anrufe ihrer Versicherten nicht oder nur unzulänglich bearbeiten konnte. Eingabemasken konnten nicht abgeschickt, Mitgliedsdaten nicht aufgerufen werden.

Fazit

Ermüdendes Warten, bis eine Pcap-Datei geöffnet ist und dann im Dschungel von Wireshark-Daten die wichtigen Informationen herauszumeißeln, gehört der Vergangenheit an.

In diesem Artikel wurden mehrere Filterfunktionen erläutert, die der Pcap-Analyzer Wireshark zur Reduktion der angezeigten Daten zur Verfügung stellt. Dabei wurde deutlich, dass bei einigen der tiefergehenden Filter auch tiefergehende Vorkenntnisse vorausgesetzt werden.

Im zweiten Teil wurde auf das von Allegro Packets entwickelte Allegro Network Multimeter eingegangen, das eine umfangreiche Palette an Filterfunktionen bereithält und diese mit wenigen Klicks ansteuern lässt.

Filter lassen sich so ohne zusätzliche Syntaxkenntnisse einfach anwenden. Dies macht die Handhabung besonders komfortabel und einfach zu bedienen. Darüber hinaus beschleunigt die Anwendung des Allegro Network Multimeters das eigene Troubleshooting, da damit der Fehler schnell einkreist werden kann. Ein von der Problemstelle aufgezeichnetes Pcap reduziert den Aufwand der weiterführenden Paketanalyse um ein Vielfaches. Hinzu kommt, dass das Allegro Network Multimeter Pcap-Dateien wesentlich schneller bearbeiten und einlesen kann. Schon während des Einleseprozesses kann mit den Daten gearbeitet werden. Oft erübrigt sich auch die Detail-Paketanalyse mit Wireshark, da das Problem bereits mit dem Allegro Network Multimeter erkannt und Lösungsansätze ermittelt werden konnten.