Netzwerkmonitoring
NetFlow und Paketdaten im Vergleich
Fortsetzung des Artikels von Teil 2
Paketdaten
Seit der Erfindung des ersten Paketanalysators gelten Paketdaten als der Goldstandard der Netzwerk-Transparenz. Unter Netzwerkanalysten gilt als sicher, dass „Paketdaten niemals lügen“. Paketdaten zeigen, was wirklich auf der Leitung passiert und führen alle Protokolle, Konversationen und Taktungen der Netzwerkkommunikation detailliert an. Netzwerkingenieure, die Paketdaten erfassen und damit einen genauen Überblick über den tatsächlichen Zustand des Netzwerks erhalten, sind in der Lage, Probleme zu beheben, die ansonsten auf unbestimmte Zeit im System versteckt blieben. Allerdings kann es schon eine Herausforderung sein, alle Pakete zu erfassen, zu speichern und dann auszuwerten.
In den heutigen Netzwerken sind Übertragungsstrecken mit 10, 40 und 100 Gbit/s die Regel. So entstehen digitale Autobahnen, die ohne die richtige Ausstattung nur schwer in den Griff zu bekommen sind. Ein Strecke mit 10 Gbit/s, die zu 50 Prozent ausgelastet ist, überträgt beispielsweise in nur fünf Minuten mehr als 180 GByte Daten. Damit ein Paketanalysator Daten bei dieser Geschwindigkeit speichern kann, werden ein riesiger Speicherplatz und eine erhebliche Rechenleistung benötigt. Wer hier die richtigen Analysewerkzeuge besitzt, kann die Aussagekraft der Daten zum Netzwerk deutlich erhöhen. Paketdaten bieten beispiellose Einblicke und schließen Lücken, die andere Technologien, wie NetFlow, nicht einmal ansatzweise berücksichtigen können. Anhand der kompletten Paket-Header (siehe Abbildung) ist der Analyst in der Lage, nach Prüfung der angezeigten Felder, wie von IP-ID und IP-TTL, der TCP-Sequenz- und ACK-Nummer sowie den TCP-Optionsfeldern, die Ursache von Problemen zu erkennen. Bei NetFlow steht der Großteil des Headers nicht zur Verfügung. Daher ist es schwierig, Leistungsstörungen zu beheben, die über eine reine Überlastung des Netzwerks hinausgehen.
Forensische Analyse mit Paketdaten
In Abhängigkeit vom Protokoll informiert die Paket-Payload über die Anwendungsanforderungen und die Antwortcodes, die URL-Adressen, Dateinamen, Datenbankfehler und zahlreiche weitere Parameter. Viele Objekte, wie Bilder und Audio-Streams, können extrahiert und wieder zusammengesetzt werden, sodass der Analyst genau sieht, welche Anwendungskomponente von der Leistungsstörung betroffen ist.
Bei der Untersuchung und Abwehr eines Angriffs kann die Payload eine kritische Rolle spielen, um herauszufinden, welche Systeme kompromittiert wurden, wie genau dieser Angriff erfolgte und insbesondere welche Daten abgerufen wurden. Bei der reinen NetFlow-Analyse stehen dem Analysten diese Angaben nicht zur Verfügung, sodass er bei der Fehlerdiagnose unter Umständen auf Vermutungen angewiesen ist.
Ideale Einsatzszenarien für Paketdaten
In den folgenden Szenarien müssen Pakete erfasst und analysiert werden:
- Analyse der Application Performance
- Messung der Netzwerk-Latenz
- Messung der Serverlaufzeit
- Analyse der Ursache von zu geringem Durchsatz
- Sicherheitsforensik: Payload
- Untersuchung von Applikationsproblemen
- Überwachung auf TCP-Übertragungswiederholungen,
- Out-of-Order-Fehler
- Fehlerdiagnose in langsamen Netzwerken
Um diese Ziele zu erreichen, sind Paketdaten unverzichtbar. Obgleich es insbesondere in kapazitätsintensiven Netzwerken, wie Rechenzentren, aufwändig ist, diese großen Datenmengen zu erfassen und für längere Zeit zu speichern, bieten Paketdaten doch eine Vielzahl von Details, die diesen Aufwand rechtfertigen. Jedes Unternehmen sollte Verfahren eingerichtet haben, um an einem wichtigen Verkehrsknotenpunkt Paketdaten zu erfassen und zu speichern.
NetFlow und Paketdaten ergänzen sich
Sowohl NetFlow als auch Paketdaten erlauben dem Netzwerkingenieur, den Netzwerkverkehr zu visualisieren. Damit ist er in der Lage, die Auswirkungen von Angriffen abzumildern, Leistungsstörungen zu beheben und die Probleme, die dem Unternehmen zu schaffen machen, in den Griff zu bekommen. Jede Technologie bietet in Abhängigkeit vom genutzten Einsatzszenario ganz spezifische Vorteile. In ihrer Kombination vermitteln sie jedoch lückenlose Einblicke in den Netzwerkverkehr. Die Techniker sollten darauf achten, beide Datenquellen zu nutzen, um die umfassende Transparenz im Netzwerk sicherzustellen, die sie benötigen, um Störungen zu lokalisieren und umgehend zu beheben.
David Eser ist Sales Manager bei Softing IT Networks
Lesen Sie mehr zum Thema
