Timo's Notitz-Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: prozessor-architekturen netzwerk-protokoll-analyse
netzwerk-protokoll-analyse

Netzwerk-Protokoll-Analyse

Netzwerk-Protokoll-Analysen sind unter anderen in folgenden Fällen notwendig:

  • In der IT-Forensik werden die Kommunikationen der beschlagnahmten Computer zur Ermittlung von Tatbeständen untersucht.
  • Mit Honeypots, das sind ungeschützt am Netz hängende (virtuelle) Computer, werden Kriminelle geködert.
  • Programme, die über das Netzwerk kommunizieren, können auf Fehler getestet werden.
  • Undokumentierte Protokolle und unerwünschtes „nach Hause telefonieren“ können analysiert werden.

QEMU und die Kernel-based Virtual Machine unterstützen die Netzwerk-Protokoll-Analyse durch das Speichern des Netzwerk-Verkehrs. Als Dateiformat wird libpcap verwendet. Damit lassen sich die Daten mit den Tools tcpdump oder Wireshark auswerten. Um den Netzwerkverkehr einer Instanz als Dump in einer Datei zu speichern, dient die Option -net dump.

Host ~$ qemu Platte.img -net dump

Im QEMU-Monitor wird mit dem Befehl info network diese Konfiguration angezeigt.

(qemu) info network 

VLAN 0 devices:

  user.0: net=10.0.2.0, restricted=n

  dump.0: dump to qemu-vlan0.pcap (len=65536)

  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56

Es wird der Dump des Netzwerk-Verkehrs in die Datei qemu-vlan0.pcap geschrieben. Dies ist die Default-Einstellung. Im QEMU-Monitor kann mit dem Befehl host_net_remove der Dump abgestellt werden.

(qemu) host_net_remove 0 dump.0

(qemu) info network 

VLAN 0 devices:

  user.0: net=10.0.2.0, restricted=n

  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56

Mit dem Befehl host_net_add dump wird der Dump aktiviert.

(qemu) host_net_add dump

(qemu) info network 

VLAN 0 devices:

  user.0: net=10.0.2.0, restricted=n

  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56

  dump.0: dump to qemu-vlan0.pcap (len=65536)

Die vollständige Syntax für -net dump ist:

-net dump[,vlan=n][,file=f][,len=n]

Dabei werden die Daten des Netzwerk-Verkehrs vom VLAN n in die Datei f (Default = qemu-vlan0.pcap) geschrieben. Es lässt sich mit n die maximale Byte-Anzahl pro Packet festlegen (Default = 64k).

Auswertung mit Wireshark

Zur Auswertung der Dump-Daten kann das Tool Wireshark (http://www.wireshark.org/download.html) verwendet werden. Die Installation ist unter Debian/Ubuntu mit einer Befehlszeile erledigt.

Host ~$ sudo apt-get install wireshark

Man ruft Wireshark auf.

'Host ~$ wireshark''

Die von QEMU geschriebene Datei qemu-vlan0.pcap wird über Menü File, Open geöffnet. Über das Icon Reload this capture file werden neuere Einträge in der Datei qemu-vlan0.pcap angezeigt.

netzwerk-protokoll-analyse.txt · Zuletzt geändert: von 127.0.0.1
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki