Skip to main content


IP-Control Engine - Netzwerk Analyse

IP-CE im Rack
Ein Anwendungsbeispiel: Portscan

Mit den Portscans kann festgestellt werden, ob die gewünschten Dienste noch vorhanden sind,
welche Betriebssysteme von den Clients verwendet werden,
ob Clients unerwünschte Dienste anbieten und vieles mehr.

Auf diesem Bild sieht man einen Port-Scan auf alle lokalen Server

portscan auf alle server

 

Kontakt

Jetzt anrufen:
0720/513628
0699/10765263

Kontakt
eMail

Software Entwicklung

Zur Entwicklung von Netzwerk Programmen werden Protokolle und Sockets, Datenströme und Datagramme benötigt. Das Fehlersuchen in der Kommunikation ist mit der IP-ControlEngine um vieles einfacher.

Hub Modus

Die IP-Control Engine kann ganz einfach in einen Hub verwandelt werden, um Fehler in einem Netz oder in einem Programm zu suchen.

Der Hub-Mode erzeugt Berkley Packet Filter (BPF) kompatible Dateien, also etwa für Wire Shark, Ethereal, Tcpdump und andere bpf-kompatible Netzwerk-Analyse Programme.

Hub oder Cable-Sniffer

Die IP-ControlEngine wird dazu so verkabelt,
dass sie sich physikalisch zwischen dem Switch
und dem zu untersuchende Gerät befindet.
Sie ist damit völlig transparent (für das zu untersuchende Gerät unsichtbar) "im Kabel" und kann den Datenverkehr abgreifen, ohne irgendeinen Angriff machen zu müssen oder irgendwelche Netzwerkeinstellungen zu verändern (es ist kein ARP-Spoofing nötig). Sie wird sozusagen zu einem Physical Layer (Layer 1) Sniffer bzw. zu einem Hub.

Hardwarefehler suchen

Das auffinden von Hardwarefehlern, etwa Printerboxen die eintreffende TCP Packets nicht mehr in die richtige Reihenfolge bringen, fehlerhafte 3-Weg Handshakes, und anderen Network Errors wird sehr einfach.

HTML Sniffer

HTML Verkehr kann auf Layer 2 mitgeloggt werden, um auf Port 80 Missbrauch der Datenverbindung, Datenschmuggel oder andere verbotene Tätigkeiten zu protokollieren.

Sniffer

Sniffing und Traffic Analysis gehört untrennbar zur Fehlersuche und Programmentwicklung dazu.

Der Sniffer kann über das WebGUI bedient werden und zeigt auch im WebGUI die Packets an. Er snifft aber auf der IP-ControlEngine, das heißt der zu analsierende Datenverkehr muss auf die IP-ControlEngine umgeleitet werden, etwa per ARP-Spoofing. Es ist aber auch ein Hub Modus vorhanden, siehe dazu Hub oder Cable Sniffer.

Spoofer

Unter spoofing versteht man das Ändern von Packet-Inhalten ab dem Data Link Layer.

Unser Spoofer kann UDP-Packets versenden und ab dem Layer 2 (Data Link Layer) ändern bzw. verstellen. Etwa Absender- und Ziel- IP-Adresse spoofen, Absender- und Ziel- Port spoofen, den Inhalt festlegen, die Anzahl Packets die versendet werden soll sowie der Zeitintervall bis zum nächsten zu versendenden Packet einstellen. Damit kann man dann mit dem Sniffer den vom IP Spoofer verursachten Traffic analysieren und sehr bequem verfolgen. Etwa ob es auch an einem bestimmten Ziel ankommt bzw. an welcher Stelle im Netz es verworfen wird. Ideal zur Fehlersuche und zum Testen von ACLs.

Portscanner

Beantwortet viele Fragen mit einem WebGUI nmap ports scan bzw. port check, unter anderem:

  • Welche Dienste laufen auf einem Host ?
  • Welches OS ist auf welchem Host ?
  • Welche Hosts sind up ?
  • Welches sind die Open Ports ?

Netzwerk dokumentieren

Am richtigen Ort eingesetzt, kann die IP-Control Engine das Netzwerk zeichnen und die benötigten Bandbreiten herausfinden.

Netzwerk Statistik

Die Abfrage und Anzeige der Auslastung von bestimmten Switchports irgendwo im Netz ist selbstverständlich, falls der jeweilige Switch SNMP kann

Network Performance

Für das Traffic Management ist die Messung der Netzwerkperformance durch einstellbaren Traffic sehr wichtig. Das ist sowohl im Backbone des Network Systems interssant, als auch im Access Layer.

Netzwerk Tools

  • Portscan
  • Ping und Broadcast Ping
  • CIDR Rechner
  • Netzwerk Durchsatz pro Switchport

Die Vorteile auf einen Blick

  • Programmentwicklung - während der Entwicklung von Client/Server Applikationen ist Traffic Analysis sehr hilfreich
  • Fehlersuche in Computer-Netzwerken - Um Fehler in der Paketzustellung zu finden, sind injizierte gespoofte Datenpakete vorgesehen.
  • Aufspüren von Man-in-the-Middle Angriffen - gewisse (nicht alle) M-i-t-M-Angriffe können gefunden werden.
  • Messen der Netzwerk Performance - Feststellen, wo der Flaschenhals ist
  • Aufzeichnen einer Netzwerk-Landkarte - Eine grafischer Plan mit Bandbreitenauslastung wird gezeichnet
  • Erhöht die Wahrscheinlichkeit vom Finden von Rootkits
  • Erhöht die Wahrscheinlichkeit einen Hacker zu finden - verbessert Intrusion Detection