Analyse-Werkzeuge

Professionell auf den Grund gehen

Alle Analyse-Werkzeuge arbeiten im Grundsatz relativ ähnlich, sie unterscheiden sich aber hinsichtlich ihrer möglichen Funktionen, ihrer Mobilität und hinsichtlich des zu untersuchenden Mediums (Kabel/WLAN).

Ein Analysesystem setzt sich immer aus mehreren Elementen zusammen. Der so genannte Capture Driver klinkt sich in den Treiber der Netzwerkkarte ein und sorgt dafür, dass alle gesendeten und empfangenen Pakete in einem Buffer zwischenge-speichert werden. Filter bieten die Möglichkeit, sich auf Pakete zu konzentrieren, die bestimmten Kriterien wie etwa Netzwerkprotokoll, Zieladresse oder TCP-Port entsprechen. Da beispielsweise bei einem LAN mit 1 GBit/s über eine Millionen Pakete pro Sekunde ankommen können, ist in solchen Netzen ein schneller Rechner zur Analyse notwendig.

Wichtig ist die Dekodierung der Netzwerkpakete. Dabei bereitet das Analysesystem die Pakete so auf, dass der Administrator die einzelnen Bestandteile unterscheiden kann, ohne genau zu wissen, welche Bytes beispielsweise bei einem TCP/IP-Paket für den Ziel-Port zuständig sind. Das System sucht per DNS-Abfrage den Hostnamen zu IP-Adressen und baut mehrere Pakete wieder zu einem Datenstrom zusammen. Das erspart dem Administrator das händische Zusammensuchen der Sequenznummern in diesem Datenstrom sowie die Zuordnung der einzelnen Pakete beim Three-way-handshake.

Darüberhinaus sind Analyzer mit einer Vielzahl von Features und Verwaltungsmög-lichkeiten ausgestattet, wie beispielsweise die Aufschlüsselung des Datenverkehrs nach Protokollen und Sender/Empfänger sowie Trendanalysen und Tools zur automatischen Fehlererkennung.