Manche Programme sind bei der Analyse von Netzwerkproblemen wirklich nützlich, sind allerdings wenig bekannt und sollten deshalb weiterempfohlen werden. Netsniff-ng ist ein solches freies Werkzeug für Linux, welches dazu dient Netzwerkverkehr aufzuzeichnen, zu analysieren und wieder abzuspielen. Im Gegensatz zu Anwendungen wie tcpdump, ettercap oder wireshark nutzt Netsniff-ng allerdings eine relativ neue Technik um die Pakete von der Netzwerkkarte über den Betriebssystemkern in den Userspace zu befördern. Durch die Nutzung der Linux-eigenen RX_RING-Infrastruktur können Netzwerkpakete unter Vermeidung von unnötigen Kopieroperationen zügig weitergeleitet und weiterverarbeitet werden. Bei diesem Ansatz spricht man deshalb auch vom Zero-Copy-Ansatz, da zur Übergabe von Daten zwischen Betriebsystemkern und Applikation durch Memory-Mapping keine zusätzlichen Speicheroperationen notwendig sind. Die dazu erforderlichen Kernelanpassungen für Senden und Empfangen sind in aktuellen Versionen des Linux-Kernels (2.4.X und 2.6.X) bereits integriert.
Im Vergleich zu bewährten Programmen wie tcpdump erhöht sich die mögliche Aufzeichnungsrate mit Netsniff-ng dadurch deutlich. Wer erste Experimente mit der Software durchführen möchte sollte die stabile Version 0.5.5.0 benutzen. Das nächste Release durch die Entwickler ist im April 2011 geplant und wird unter anderem eine neue Parametersyntax für Kommandozeilenparameter und eine weitergehende Modularisierung der Quellcodebasis bieten um zusätzliche Werkzeuge mit der Technologie zu ermöglichen.
Die Installation von Netsniff-ng 0.5.5.0 erfolgt einfach mit
make
sudo make install
im src/-Verzeichnis des Programms.
Nach erfolgreicher Installation ist es möglich mit:
sudo netsniff-ng --dev eth0 --dump out.pcap --silent
Netzwerkverkehr aufzuzeichnen.
Ähnliche Artikel:
0 Kommentar zu “Netzwerkverkehr aufzeichnen mit Netsniff-ng”