/var/netw
jedes ethernet-board weltweit hat eine eindeutige ethernet-adresse, eine 48bit nummer=MAC-addresse (24 bit vom hersteller, danach 24 bit eindeutig vom hersteller vergeben)
fuer LAN die das IPX/SPX protokoll verwenden wird diese hard-ware adresse zur identifikation verwendet, so dass keine separate netzwerkadresse vergeben werden muss.
Ein TCP/IP netzwerk, dagegen ist als WAN konzipiert, welches auch bei ausfall eines teils des netzes weiter funktionieren muss. Es werden deshalb 32-bit nummern, sogenannte IP-adressen, vergeben welche als 48bit nummern dargestellt werden. In einem privaten Netz waere das ueblicherweise 192.168.x.y, (x.. constant im netz).
Der ARP (Address Resolution Protocol) and RARP (Reversed Address Resolution Protocol) prozess fuer kleine netzwerke funktioniert wie folgt: Sobald ein system an einem TCP/IP netzwerk angeschlossen wird und es eine IP adresse zugewiesen bekommt meldet es seine anwesenheit ans netzwerk mit seiner ethernet adresse (eg 08000b 0a0238) und seiner ip-adresse. Jedes system im netz erstellt alle ca 15min eine tabelle der vorhandenen IP/Ethernet-Addressen. muss ein system mit einem anderen kommunizieren fuer dass es keinen eintrag in der tabelle der IP/Ethernet-Addressen hat, sendet es eine broadcast-message an alle ("ich moechte mit 192.168.x.y kommunizieren, aber ich kenn die ethernet-adresse nicht. bitte identifiziere dich.") das system mit ip 192.168.x.y sendet darauf hin wieder seine message mit ip und ethernet adresse.
um ein tcp/ip lan mit einem lan oder wan zu verbinden braucht man einen router. wenn ein system mit einem anderen in kontakt tritt checkt es die ersten 24 bit (192.168.x). sind sie gleich erhaelt tcp/ip die ethernet adress aus der arp-tabelle. anderenfalls ist es aufgabe des routers die verbindung herzustellen.
<quote> tu-berlin, S. Schnieber, 11/2003 </quote>
Netzwerk Monitoring und Fehlersuche
- Konfiguration der Netzwerkkarten
- ifconfig
- ip link ls
- netstat -i / -s
- Netzverbindung zum Rechner Rechnername?: ping Rechnername
- DNS und Routing
- host Rechnername / ip-Adresse (dig, nslookup)
- traceroute
Rechnername
- netstat -r oder
ip route ls [ tab name ]
- ip route get ip-Adresse
- arp
- Netzverkehr überwachen
- tcpdump -a host Rechnername
- ethereal
- Aktive Netzeverbindungen: netstat -t
on server
- check for open ports and provided services
- nmap localhost -p 1-65535 (or nmap hostname/ipadress if not for the local)
- lsof | grep 32768 (list open files)
- netstat -nlp (listening ports) (run lsof | grep port, in case unrecognized port)
- security tools www.insecure.org
- Nessus: premier Open Source vulnerability assessment tool, plug-in-based, has a GTK interface, and performs over 1200 remote security checks. It allows for reports to be generated in HTML, XML, LaTeX, and ASCII text, and suggests solutions for security problems.
- ethereal: free network protocol analyzer for Unix and Windows
- netcat: reads and writes data across network connections, using TCP or UDP protocol
advanced alternative to traceroute/ping/telnet/whois
- John the Ripper: extraordinarily powerful, flexible, and fast multi-platform password hash cracker
- lsof: LiSt Open Files
intrusion checklist: du, ps, netstat, find, ls, who, w, und lsof are often hacked: use safe copy
- du -s / | sort -n: see if too much space used
- find / -type f -size +40000 -print: see where big ones are
- find / -type -f -mtime -7 -print: see where last files located
- find / -type -d -mtime -7 -print:
- compare prog output: netstat -a > /tmp/netstat.hacked;
netstat.safe -a > /tmp/netstat.outp.trusted;
diff -w netstat.hacked netstat.outp.trusted;
--- same for ps -a
- check open ports: lsof, check processes: ps -agxwwu
- check 4 unwanted connections?: nestat -a
- check history: more /root/.bash_history
network check www.nwlab.net
bottom up approach: Physical Layer (kabel etc), Data Link Layer (doppelte MAC-Adressen und inkompatile Frametypen), Network Layer (nicht eindeutige Adressen und falsche Netzmasken, check using arp, ping, traceroute), Transport Layer(eg tcp udp), Session Layer (dns, check via nslookup, dig), Presentation Layer, Application Layer
- check verkabelung: gleiche gerate mit kreuzkabel? switch und hubs haben meist gekreuzte ports (meist mit X fuer cross gekennzeichnet (NIC-Switch: 1:1 kabel, Router-Switch: 1:1 kabel, NIC:NIC: kreuzkabel)
| Kategorie |
Klasse |
Frequenz |
Verwendung |
| Cat1 |
Class A |
100 kHz |
"Klingeldraht" |
| Cat2 |
Class B |
1 oder 1,5 MHz |
|
| Cat3 |
Class C |
16 MHz |
10BaseT und Telefonie |
| Cat4 |
Class C |
20 MHz |
selten im Einsatz |
| Cat5 |
Class D |
100 MHz |
100BaseT (kupfer), FDDI |
| Cat5e |
Class D |
100 MHz |
Kabel bis 350 MHz verfügbar, 1000BaseT
|
| Cat6 |
Class E |
250 MHz |
Kabel bis 450 MHz verfügbar |
| Cat7 |
Class F |
600 MHz |
PiMf |
| Cat8 |
Class G |
1200 MHz |
PiMf
|
Namen nach abschirmung: UTP (Unshielded Twisted Pair), FTP (Foiled Twistet Pair), S/FTP (Screened / Foiled Twisted Pair), STP (Shielded Twisted Pair), S/STP (Screened Shielded Twisted Pair), PiMf (Paarweise in Metallfolie)
- haeufige Ursache fuer Probleme im Ethernet: Duplex Mismatch, fuehrt zu schlechter performance fuer user
Viele einfache Switche bieten keine Einstellmöglichkeit
für den Duplexmode und laufen immer mit Autonegotiation. Hier
sind die Clients also auch auf Auto einzustellen.
- networklayer check: ping, traceroute (liefert nur info ueber weg zum ziel, nicht zurueck), netstat -an, route print (print Routingtabelle)