Spurensicherung: Live-Diagnose im LAN
Wenns im Netzwerk hakt, schlägt die Stunde von ntopng: Das Diagnosetool spürt die aktiven Netzwerkgeräte auf und weiß, wie viele Daten gerade übertragen werden.
Wenn Internetvideos stocken, ist nicht immer der Provider schuld: Manchmal stopfen eigene Geräte den Router mit einem Backup-Upload zu, manchmal holen Windows-PCs zur Unzeit ihre Patches.
Wer solche Binnentäter ermitteln will, muss sich den Netzwerkverkehr über längere Zeit anschauen. Wenn die Statusseite des Routers dafür nicht genug Details liefert, setzt man üblicherweise Analyse-Schwergewichte wie Wireshark oder MRTG/PRTG auf ausgewachsenen PCs ein.
In kleinen Netzen lässt sich das quelloffene Monitoring-Tool ntopng notfalls sogar auf einem Raspberry Pi betreiben, auch in Form des c't-Raspion. ntopng zeigt nicht nur auf einer übersichtlichen Browserseite an, welcher Netzteilnehmer wieviel IP-Verkehr verursacht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ntopng greift auf externe Security-Listen wie Cisco Talos Intelligence oder die SSL Blacklist (SSLBL) zu. Deshalb schlägt das Tool Alarm, wenn Geräte Ihres Netzwerks mit bekannt bösartigen Hosts im Internet kommunizieren und warnt, falls es bei verschlüsselten Verbindungen veraltete Algorithmen oder gefälschte Zertifikate untergeschoben bekommt.
In Ausgabe 4/2020 schildert c't im Detail, wie man ntopng einrichtet. c't liefert Anleitungen für drei preiswerte Sniffing-Techniken und erklärt, wie der Sniffing-PC die zu analysierenden Datenpakete an das Monitoring-Tool liefert. Außerdem liefert die Redaktion jede Menge Tipps, was es beim Einsatz von Portmirroring an Switches in größeren Netzen zu beachten gilt. Mehr zum Monitoring im c't-Schwerpunkt Netzwerk-Live-Diagnose mit ntopng. (ea)
