PRTG - Sniffer

Inhaltsverzeichnis
  1. Einrichtung
  2. Anzeige
  3. Links

Auf einen ganz besonderen Sensor möchte ich sie aufmerksam machen, der keine Dienste prüft oder Counter per SNMP abfragt, sondern alle Netzwerkpakete auf einer Netzwerkschnittstelle mitschneidet und nach Quell-IP, Ziel-IP und Ports auswertet. Der Sensor kann aber nur auf der Netzwerkprobe selbst laufen, d.h. auf dem PRTG Server oder einer PRTG RemoteProbe. Damit gibt es zwei Einsatzbereiche:

  • Der Verkehr geht über den PRTG-Server
    Dies ist z.B. der Fall, wenn Sie einen TMG als Firewall/Router einsetzen oder einen Windows VPN-Server betreiben. Dann können Sie einfach den Sensor auf dem Server selbst aktivieren
  • Mirror-Port
    Die zweite Variante ist ein Mirror-Port auf dem Switch, so dass Pakete der zu überwachenden Verbindungen (z.B. zum WAN-Router oder Firewall) als Kopie auch an den Mirror-Port übertragen werden, an denen dann ein Windows PC mit PRTG RemoteProbe lauscht.

Der Sensor ist damit dem Programm NTOP vergleichbar.

PRTG - Bandwidth Monitoring with SNMP and WMI
http://www.paessler.com/support/videos/prtg-basics/bandwidth-monitoring-basic 
Bandbreiten-Monitoring via Flows und Packet Sniffing
http://www.paessler.com/support/videos/prtg-advanced/bandwidth-monitoring-advanced

Einrichtung

Der Sensor wird wie gewohnt über die PRTG-Konsole eingerichtet. Filtern Sie einfach nach "Packet Sniffing"

Die farbliche Anzeige weist natürlich darauf hin, dass dieser Sensor eine recht hohe Belastung auf der Probe generieren kann. Im zweiten Schritt sind die Netzwerkkarten auszuwählen. Optional können über Filter bestimmte Pakete vorweg ausgefiltert werden.

Und dann heißt es wieder einmal etwas warten. Per Default sammelt der Sensor die Daten im 60 Sekunden Abstand ein.

Anzeige

Wenn Sie dann die Anzeige bemühen, dann sehen Sie erst mal nur wieder die Protokollverteilung über die Zeitachse.

Interessanter ist hier aber der Reiter "TopLists", über die Sie mehr Informationen erhalten können.

Per Default sind hier "Top Protocols" und "Top Talkers" enthalten. ein "Top Connections" ist schnell addiert. Auch dies erfolgt per GUI

Die dann ausgegebenen Informationen sind in drei Bereiche geteilt. Auf der linken Seite können die den Zeitraum anwählen, zudem dann rechts passende die Grafik aktualisiert wird. Im unteren Bereich stehen die Daten tabellarisch zur Verfügung: Hier am Beispiel der "Top Talkers":

Wenn Sie stattdessen die "Top Protocols" auswählen, dann sehen Sie gruppiert den Anteil der verschiedenen Diensten an der übertragenen Datenmenge:

Was hier als "Chat" aufgeführt ist, ist der SIP-Traffic. Sie sehen, dass ich hier eine "ruhige" Periode genutzt habe. Aber oft sind genau die Phasen interessant, in denen eigentlich nichts passiert. Hier sieht man noch die Nachwehen des DoS mit DNS.

Diese Kundenbild zeigt, dass in der fraglichen Zeit fast 20% des Datenverkehrs durch DNS-Anfragen an den DNS-Server des Kunden entstanden sind. Dabei dürfe es sich bei "ddos-guard" um einen Anbieter handeln, der vorgibt, DDos-sichere Dienste bereit zu stellen. Ich kann nur vermuten, das Sie dazu andere DNS-Server auf ihre Verwundbarkeit proben um diese Subnetze dann früh zu sperren. Interessanterweise lieferten beide Webseiten dieser Adressen am 7.Dez 2012 keinen sinnvollen Content.ddos-guard hat aber zumindest ein Thawte-Zertifkate (Domain Validated) auf der Webseite laufen.

Links