Netzwerk-Verkehr aufzeichnen mit tcpdump und ntop

Wenn etwas in Ihrem Linux-Netzwerk nicht richtig funktioniert, lohnt es sich, einen Blick auf tcpdump zu werfen. Eine Alternative ist ntop, das wir weiter unten in diesem Artikel beschreiben.

TCPDUMP untersucht Protokoll-Header

Dieses Tool schreibt live alle Protokoll-Header mit und gibt sie auf dem Bildschirm aus. Sie überwachen damit also den kompletten Netzverkehr zwischen dem Linux-Rechner und dem Netzwerk. Falls Sie an Stelle eines Switches einen Hub einsetzen, können Sie sogar den kompletten Datenverkehr im Netz überwachen. Allerdings erschlägt die schiere Menge der Informationen dann jeglichen Einsatzzweck. Aber zurück zum Anfang:

Falls Sie das Gefühl haben, irgendetwas stimmt nicht zwischen Linux-Rechner und Netz, dann starten Sie tcpdump. Sofort sehen Sie den Datenverkehr. Meist erscheinen regelmäßig Meldungen des Address Resolution Protocol arp.

Tcpdump Ausgabe
Tcpdump Ausgabe

Diese Rundsendungen mit der Frage “who-has”, deutsch “wer hat?” dienen der Zuordnung von Ethernet-Adressen zu IP-Adressen. Darüber hinaus lässt sich hier aber auch feststellen, ob der TCP-Verkehr klappt. Versuchen Sie bei laufendem TCP-Dump einmal, per http auf den Rechner zuzugreifen. Sofort erscheint eine Reihe von http-Header-Meldungen.

Mit tcpdump können Sie also gezielt überwachen, welche Anwendungen wie kommunizieren. Bei Fehlern erhalten Sie hier auch wertvolle Meldungen, die Ihnen weiter helfen. Ganz abgesehen davon sehen Sie einmal, was sich überhaupt im Netzwerk tut und wer mit wem schwätzt.

Natürlich können Sie auch einschränken, was tcpdump überwacht. Wenn Sie zum Beispiel nur den Datenverkehr über http betrachten wollen, geben Sie ein:

tcpdump port 80

Denn über diesen Port kommen per Standard alle http-Verbindungen zu Stande. Alternativ können Sie auch nur einen bestimmten Rechner überwachen:

tcpdump host 192.168.0.1

Nur von der Konsole aus nutzen

Kleiner Tipp zum Schluss: Verwenden Sie tcpdump ausschließlich von der Konsole Ihres Linux-Rechners aus. Falls Sie ihn per Telnet oder ssh von einem anderen Rechner aus starten, protokolliert tcpdump ständig den Datenverkehr zwischen dem Terminal und dem Linux-Rechner – und erzeugt damit nur neuen Datenverkehr.

So überwachen Sie ein Netzwerk mit ntop

Linux hat ein Werkzeug, um das Netzwerk bis ins Detail zu überwachen und den Datenverkehr auszuwerten.

Das Programm heisst ntop und ist beispielsweise bei Suse-Linux mit im Lieferumfang. Es muss allerdings extra installiert werden.

ntop installieren und starten

Einmal eingerichtet und gestartet stellt ntop über den Port 3000 des Web-Servers statistische Daten en masse bereit. Als Grundlage beobachtet das Programm den Netz-Datenverkehr und wertet ihn für die Statistik aus.

Screen ntop
Screen ntop

Halt die Klappe, Alexa! 😤

So, Schluss, aus. Alexa ist abgestöpselt. Stecker aus der Dose, ab ins Regal. Warum? Weil mir das Amazon Echo dauernd reinquatscht. Und weil es mich nicht versteht.

Warum ich von einem simplen „Plop“ so begeistert bin 🎛

VCV-Rack

Ok, es ist mehr, als ein „Plop“ – es ist auch ein „Wi-UUU-Wi-UUU“ und so vieles mehr. Ich spreche von einem modularen Synthesizer. Fast hätte ich mir so ein Ding als Hardware gekauft für über 500 Euro. Doch dann habe ich ein Programm entdeckt, das einen modularen Synthesizer auf dem Computer simuliert.