DisTAnz - Der Distributed Traffic Analyzer

Ein Programm zur Verkehrsflußanalyse in geswitchten Netzwerken.

Von Corina Apachite, Mohamed Zouari, Iskander Rekik, Stefan Henze und Karsten Römling.

Inhalt

Dies ist ein vorläufiges Handbuch. Es ist u.U. noch nicht vollständig und enthält möglicherweise noch nicht alle wichtigen Punkte. Mit Auslieferung des fertigen DisTAnz wird es ein komplettes, fehlerbereinigtes Handbuch geben.

Überblick
Programmstart
- Agent
- Manager
Die Menüs
- Datei
- Agenten
- Ansicht
- Hilfe
Die Benutzeroberfläche
Fehlersuche
Glossar

Überblick

Die Analyse von Verkehrflüssen in lokalen Netzwerken ist schon lange ein wichtiger Teil der Arbeit im Netzwerkmanagement. Doch haben traditionelle Tools wie tcpdump und Ethereal den Nachteil, in geswitchten lokalen Netzwerken nur jeweils ein Segment beobachten zu können.

Der Distributed Traffic Analyzer bietet dagegen die Möglichkeit, auch in einem solchen Netzwerk eine Analyse des gesamten Netzwerkverkehrs vornehmen zu können.

Hierzu werden mehrere Agenten auf die verschiedenen, durch Switches getrennten Segmente des Netzwerkes angesetzt, und leiten die von ihnen gesammelten Daten auf Anfrage an einen Manager weiter. Dieser schlüsselt die Daten entsprechend der Nutzervorgaben auf und stellt sie dar.

Die Agenten

Um nun in den einzelnen Netzwerksegmenten Daten sammeln zu können, werden Agenten benutzt. Diese Agenten bekommen von einem Hilfsprogramm auf Port 2000 eine textuelle Entsprechung des IP-Verkehrs im Segment. Die Agenten führen (mit Hilfe einer zuvor durchgeführten Synchronisation mit dem Manager) eine Korrektur der Zeitstempel durch und behalten dann die Daten der letzten maximal 12 Stunden im Speicher. Auf Anfrage eines Managers werden die seit der letzten Anfrage desselben Managers aufgelaufenen Daten an diesen übermittelt.

Der Manager

Der Manager übernimmt die Zusammenführung der von den Agenten gelieferten Daten. Hierzu können einerseits alle verfügbaren Agenten in einem Subnetz gefunden, als auch einzelne Agenten zur Datenabfrage ausgewählt werde. Die gesammelten Daten werden dann zusammengeführt, sortiert und angezeigt. Auch ein Ausdruck bzw. eine Speicherung von Daten ist möglich.

Einschränkungen

Das Programm ermöglicht gegenwärtig nur die Analyse von IP-Verkehr im Netzwerk. Andere auf Ethernet aufsetzende Protokolle werden nicht betrachtet. Weiterhin werden nur TCP, UDP und ICMP als auf IP aufsetzende Protokolle differenziert, und auch diese nicht in allen Einzelheiten aufgeschlüsselt. Insbesondere die Beobachtung von Paketinhalten ist nicht möglich.

Systemvoraussetzungen

Zum Betrieb der Programme ist auf den Rechnern ein lauffähiges JDK 1.2.x Voraussetzung. Für den Betrieb des Managers ist zudem eine grafische Benutzeroberfläche nötig. Eine Bildschirmauflösung von mindestens 800x600 Punkten wird empfohlen, eine Maus ebenfalls. Es werden 1 (Agenten) bzw. 5 (Manager) MB Festplattenspeicher benötigt, der RAM-Bedarf ist vom beobachteten Netzwerkverkehr abhängig.

Programmstart

Der Start des Systems setzt sich aus zwei Teilen zusammen. Erst sind ein oder mehrere Agenten zu starten, danach der Manager. Diese Reihenfolge ist nicht zwingend, aber empfehlenswert. Ohne Agenten ist keine Beobachtung des Netzwerkverkehrs möglich, so daß der Start des Managers allein nur zur Betrachtung einer zuvor gespeicherten Beobachtung sinnvoll ist.

Agent

Die Agenten sind auf jeweils einem Rechner eines jeden zu beobachtenden Netzwerksegmentes zu starten. Der Startvorgang ist dabei sehr einfach:

java -jar DTAAgent.jar

Sollten hierbei Fehler auftreten, so wird der Agent eine Fehlermeldung ausgeben. Die Bedeutung dieser Fehlermeldung kann im Abschnitt Fehlersuche nachgeschlagen werden.

Manager

Der Start des Managers gestaltet sich ebenso einfach wie der Start eines Agenten. Der Manager kann auf einem eigenen Rechner gestartet werden, ebenso kann er jedoch auf dem gleichen Rechner laufen wie ein Agent. Das Starten mehrerer Manager hat keine Nachteile.

java -jar DTAManager.jar

Sollten hierbei Fehler auftreten, so wird der Manager eine Fehlermeldung ausgeben. Die Bedeutung dieser Fehlermeldung kann im Abschnitt Fehlersuche nachgeschlagen werden.

Die Menüs

Über die Menüs sind die meisten Funktionen des Programms zugänglich, lediglich die Sortierung der Tabellen kann nur durch einen Mausklick auf den Tabellenkopf beeinflußt werden.

Datei

Neu: Löscht das aktuelle Beobachtungsergebnis und startet eine neue Beobachtung. Nach dem Laden eines gespeicherten Beobachtungsergebnisses die einzige Möglichkeit, den laufenden Netzwerkverkehr zu beobachten.
Laden...: Lädt ein gespeichertes Beobachtungsergebnis. Ein Hinzufügen von Daten zu einem gespeicherten Ergebnis ist nicht möglich.
Speichern...: Speichert das aktuelle Beobachtungsergebnis auf einem Datenträger.
Druckereinrichtung...: Dieser Menüpunkt ermöglicht die Auswahl eines Papierformates für den Ausdruck gesammelter Daten.
Drucken...: Druckt die aktuell dargestellte Datentabelle aus. Es erscheint ein Dialog, welcher die Auswahl eines Druckers bzw. einer Ausgabedatei ermöglicht.
Beenden: Dieser Menüpunkt beendet das Programm.

Agenten

Suchen...: Es wird eine Maske zur Eingabe einer Subnetzmaske eingeblendet. Nach Eingabe einer gültigen Subnetzmaske sucht der Manager nach aktiven Agenten und bietet die gefundenen Agenten anschließend zur Auswahl an. Siehe auch Auswählen.
Auswählen...: Es erschient ein Fenster zur Auswahl der benutzten Agenten. Es werden nur von hier ausgewählten Agenten Daten angefordert. Dies ermöglicht die gezielte Beobachtung von einzelnen Netzwerksegmenten ohne überflüssigen Netzwerkverkehr und beschleunigt in solchen Fällen die Datenverarbeitung.
Aktualisierung...: Im erscheinenden Dialogfenster kann die Frequenz der automatischen Aktualisierung eingestellt werden. Wird hier ein Wert zwischen 1 und 60 eingegeben, so fordert der Manager entsprechend der Einstellung alle n Minuten Daten von den Agenten an und aktualisiert die Darstellung. Ein manuelles Aktualisieren ist somit nicht nötig, kann jedoch bei Bedarf über den entsprechenden Menüpunkt im Menü Ansicht erfolgen.

Ansicht

Sortierung: Die Einstellungen diese Menüs können auch über die Auswahlliste im linken Teil des Programmfensters vorgenommen werden. Je nach Einstellung wird die jeweilige Tabelle im Hauptteil des Fensters dargestellt.
Zeitraum: Hier kann ausgewählt werden, welchen Zeitraum die angezeigten Daten abdecken sollen. Es wird jeweils der Verkehr der letzen 1, 3, 6 oder 12 Stunden angezeigt, je nach Einstellung.
Aktualisieren: Der Manager fordert von allen ausgwählten Agenten neue Daten an und aktualisiert die Datenansicht im Fenster. Bei eingestelltem Aktualisierungsintervall geschieht dies automatisch.

Hilfe

Inhalt: Das Hilfefenster wird aufgerufen. Es enthält diesen Text.
Über...: Eine kurze Programminformation wir angezeigt (Autoren, Versionsnummer und URL der DisTAnz-Homepage). Ein Klick auf OK schließ das Fenster wieder.

Die Benutzeroberfläche

Unten ein Screenshot des Manager-Fensters mit den vier Hauptbereichen Menü, Sortierungen-Liste, Datentabelle und Log-Fenster. Die Menüs werden im Abschnitt Die Menüs erläutert.

Die Sortierungen-Liste

Hier kann mit einem Mausklick eine Art der Datenansicht ausgewählt werden. Die Datentabelle wird entsprechend ausgetauscht. Diese Funktion ist auch über das Menü Ansicht zu erreichen.

Die Datentabelle

Hier werden die Daten, die aus der Netzwerkbeobachtung gewonnen werden, dargestellt. Ein Klick auf eine Spaltenüberschrift sortiert die Tabelle nach den Werten dieser Spalte. Ein weitere Klick auf dieselbe Spaltenüberschrift kehrt die Sortierreihenfolge um. Ein Klick auf einen Karteireiter stellt statt der summierten Daten nur die vom ausgewählten Agenten kommenden Daten dar.

Mittels Drag & Drop können die Tabellenspalten umsortiert werden, ebenso ist mit der Maus eine Änderung der Spaltenbreiten möglich.

Das Logfenster

Hier gibt das Programm Meldungen zum Programmlauf aus. So ist zu verfolgen, wann ein Verbindungsaufbau zu einem Agenten erfolgt, ob ein Vorgang erfolgreich war, etc.

Fehlersuche

Kein Helper auf Port 2000: Die Hilfsapplikation zur Bereitstellung der Paketdaten auf Port 2000 wurde nicht gestartet.
Kein Speicherplatz: Die Pufferung der Daten ist aufgrund nicht ausreichenden Speicherplatzes u.U. unvollständig
Fehlerhafte Anfrage: Diese Fehlermeldung sollte nicht auftreten. Wenden Sie sich an den Softwarehersteller.
Keine Netzwerkverbindung: Auf dem Rechner ist keine Netzwerkverbindung vorhanden, oder sie ist falsch konfiguriert.
Fehlerhafte Daten: Ein Agent hat falsche Daten gesendet. Dies kann an einer instabilen Netzwerkverbindung liegen. Tritt der Fehler wiederholt auf, wenden Sie sich an den Softwarehersteller.
...andere Fehlermeldungen: Bitte wenden Sie sich an den Softwarehersteller, bzw. an Ihren Distributor.

Glossar

Agent: Im Netzwerkmanagement ein Programm, von dem im Netzwerk mehrere Instanzen gestartet werden können, und welche seperat Daten sammeln oder eine sonstige Funktion ausführen. Agenten werden von einem Manager gesteuert.
Ethernet: Ein weit verbreiteter Standard zur Einrichtung von lokalen Netzwerken (LAN). Kann mit Geschwindigkeiten von 10 bzw. 100 Megabit pro Sekunde arbeiten. Schnellere Varianten sind noch selten.
Ethereal: Ein Programm zur Netzwerkbeobachtung. Ähnlich tcpdump
ICMP: Das Internet Control Message Protocol. Es dient der Kommunikation zwischen Routern und ähnlichen Geräten.
IP: Das Internet Protocol. Es dient zum Transport von Daten und bildet die Transportschicht für Protokolle wie TCP und UDP.
IP-Adresse: Eine Adresse der Form a.b.c.d, wobei a, b, c und d Zahlen zwischen 0 und 255 sind. Die IP-Adresse kennzeichnet einen Computer im Netzwerk eindeutig.
LAN: Local Area Network (LAN). Ein lokales Netzwerk, welches mehrere Computer verbindet, die sich (meist) in physikalischer Nähe zueinander befinden.
Manager: Im Sinne des Netzwerkmanagement ein Programm zur Steuerung von Agenten
Paket: Daten werden über IP paketweise verschickt. Ein Paket enthält eine Teil der Gesamtinformation, die Pakete werden erst beim Empfänger wieder zusammengesetzt.
Port: TCP und UDP stellen eine Verbindung zu einem bestimmten Port eines Computers her. Verschiedene Dienste verwenden spezifische Ports (SMTP Port 25, NNTP Port 119, HTTP Port 80, etc.)
Protokoll: Zum Datentransport werden verschiedene Protokolle verwendet. Auf IP setzen beispielsweise TCP und UDP auf.
Subnetz: Ein Subnetz umfaßt eine Teil eines Netzwerkes und wird durch eine Maske angegeben. Das Subnetz 192.168.43.255 umfaßt beispielsweise alle Rechner zwischen 192.168.43.1 und 192.168.43.254.
Switch: Ein Switch verbindet Netzwerke miteinander. Er leitet nur Pakete weiter, die auch in das entsprechende Teilnetz sollen. Dies verbessert die Performance.
TCP: Das Transmission Control Protocol.
tcpdump: Ein sehr bekanntes Programm zur Beobachtung von Netzwerken. Ähnlich Ethereal
UDP: Das User Datagram Protocol.