[sage] Netzwerk-Qualitaet analysieren ?
Joerg Mertin
smurphy at solsys.org
Mon May 31 16:11:58 CEST 2010
Moin Leuts,
ich habe gerade ein recht heikles Problem.
Ein Monitoring System, das unter anderem auch ein sog. "Man in the Middle
Sniffing" durchfuehrt (Wird nur auf wunsch eingesetzt), schmiert immer ab.
Es hat sich heraus gestellt, dass die ssldump Bibliothek hier schuld am
Ausstieg ist. Wenn ich den Code richtig deute, steigt ssldump da aus, wo
tatsaechlich ein SSL-Paket ankommt (aus IP sicht ganz/korrekt), aber beim
entschluesseln stellt sich heraus, dass die Payload korrupt ist, division
durch null und bumps ...
So - hervorgerufen wird sowas oft dadurch, dass das System nur mit einer
Kopie des Netzwerkverkehrs arbeitet, d.h. auch, dass eventuell vorhandene
Fehler die jetzt auftreten, nicht mehr ausgebuegelt werden.
Hinzu kommt auch, dass sehr oft die Switche/Monitoring Devices, Die uns
die Daten liefern, ueberfordert sind, und schweigend Daten verlieren (dies
natuerlich nicht mitteilen). Dies ist aber recht einfach zu
identifizieren.
Manchmal kommt noch hinzu, dass eine Application-Level Firewall oder ain
NIDS in passthrough geschaltet, irgendwo zwischen geschaltet ist, und im
falle der Firewall neue Verbindungen oeffnet, so dass man eine getrennte
Verbindung hat (Erschwert halt das troubleshooting wenn man 1500 parallele
Sessions am laufen hat), im Falle des NIDS DEvices, gelegentlich
Gegenmassnahmen ergriffen werden (Gegen irgend einen Angriff), und damit
geht die Qualitaet erst recht den Bach runter.
In Wireshark ist dies dann ganz nett einzusehen. Alles Rot/Schwarz
untermal etc. :)
Da ich es persoenlich leid bin, jedesmal aufs neue alles Manuell durch zu
fuehren, um die Qualitaet der vorhandenen Daten (Kommen von network-Tap,
Switch, Load-Balancer, remote SPAN etc.) zu analysieren, wollte ich mal
nachfragen, ob jemand hier ein Programm kennt, dass die "Qualitaet" von
Netzwerkverkehr darstellen kann. D.h. Ratio guter/schlechter Traffic,
wieviele Retransmits gibt es, wie viele Pakete sind aus der Reihe etc.
Welche Pakete/Payload-Inhalt sind korrupt/kapput bzw. korribierbar/nicht
korribgierbar ? Kann auch was kosten.
PS: Ich sehe dieses Verhalten in den aktuellen Netzen immer haeufiger
aufkommen. Immer mehr Firmen wollen auch ein Monitoring fahren, aber den
wenigsten Netzwerkadmins ist Bewusst, dass Ihr Monitoring auf "Kaputte"
Daten beruht ...
Kennt hier jemand so ein Tool mit dem man sich die Netzwerk Qualitaet
anschauen kann ?
Thx fuer jeden Hinweis ...
Gruss
J.
--
------------------------------------------------------------------------
| Joerg Mertin : smurphy at solsys.org (Home)|
| in Forchheim/Germany : smurphy at linux.de (Alt1)|
| Stardust's LiNUX System : |
| Web: http://www.solsys.org |
------------------------------------------------------------------------
PGP Fingerprint: AF0F FB75 997B 025F 4538 5AD6 9888 5D97 170B 8B7A
More information about the SAGE
mailing list