Wenn etwas in Ihrem Linux-Netzwerk nicht richtig funktioniert, lohnt es sich, einen Blick auf tcpdump zu werfen. Eine Alternative ist ntop, das wir weiter unten in diesem Artikel beschreiben.
TCPDUMP untersucht Protokoll-Header
Dieses Tool schreibt live alle Protokoll-Header mit und gibt sie auf dem Bildschirm aus. Sie überwachen damit also den kompletten Netzverkehr zwischen dem Linux-Rechner und dem Netzwerk. Falls Sie an Stelle eines Switches einen Hub einsetzen, können Sie sogar den kompletten Datenverkehr im Netz überwachen. Allerdings erschlägt die schiere Menge der Informationen dann jeglichen Einsatzzweck. Aber zurück zum Anfang:
Falls Sie das Gefühl haben, irgendetwas stimmt nicht zwischen Linux-Rechner und Netz, dann starten Sie tcpdump. Sofort sehen Sie den Datenverkehr. Meist erscheinen regelmäßig Meldungen des Address Resolution Protocol arp.
Diese Rundsendungen mit der Frage „who-has“, deutsch „wer hat?“ dienen der Zuordnung von Ethernet-Adressen zu IP-Adressen. Darüber hinaus lässt sich hier aber auch feststellen, ob der TCP-Verkehr klappt. Versuchen Sie bei laufendem TCP-Dump einmal, per http auf den Rechner zuzugreifen. Sofort erscheint eine Reihe von http-Header-Meldungen.
Mit tcpdump können Sie also gezielt überwachen, welche Anwendungen wie kommunizieren. Bei Fehlern erhalten Sie hier auch wertvolle Meldungen, die Ihnen weiter helfen. Ganz abgesehen davon sehen Sie einmal, was sich überhaupt im Netzwerk tut und wer mit wem schwätzt.
Natürlich können Sie auch einschränken, was tcpdump überwacht. Wenn Sie zum Beispiel nur den Datenverkehr über http betrachten wollen, geben Sie ein:
tcpdump port 80
Denn über diesen Port kommen per Standard alle http-Verbindungen zu Stande. Alternativ können Sie auch nur einen bestimmten Rechner überwachen:
tcpdump host 192.168.0.1
Nur von der Konsole aus nutzen
Kleiner Tipp zum Schluss: Verwenden Sie tcpdump ausschließlich von der Konsole Ihres Linux-Rechners aus. Falls Sie ihn per Telnet oder ssh von einem anderen Rechner aus starten, protokolliert tcpdump ständig den Datenverkehr zwischen dem Terminal und dem Linux-Rechner – und erzeugt damit nur neuen Datenverkehr.
So überwachen Sie ein Netzwerk mit ntop
Linux hat ein Werkzeug, um das Netzwerk bis ins Detail zu überwachen und den Datenverkehr auszuwerten.
Das Programm heisst ntop und ist beispielsweise bei Suse-Linux mit im Lieferumfang. Es muss allerdings extra installiert werden.
ntop installieren und starten
Einmal eingerichtet und gestartet stellt ntop über den Port 3000 des Web-Servers statistische Daten en masse bereit. Als Grundlage beobachtet das Programm den Netz-Datenverkehr und wertet ihn für die Statistik aus.
