De sleutel tot het oplossen van netwerk-gerelateerde problemen is het vastleggen en analyseren van het netwerkverkeer. Op deze manier kan gedetailleerd in beeld gebracht worden wat er gaande is op het moment dat er verstoringen in het netwerk worden geconstateerd. Veelal geeft dit een goede indicatie van de oorzaak van eventuele problematiek.

Wireshark / Tcpdump

De bekendste tools voor het vastleggen van netwerkverkeer zijn Wireshark (Windows) en Tcpdump (Linux/Unix). Wireshark heeft een grafische interface en is voorzien van analytische en statistische functies. IP-onderzoeker gebruikt Wireshark voor het uitvoeren van netwerk analyses.

Ander tools / Firewalls

Naast Wireshark en Tcpdump zijn er nog verschillende andere tools waarmee packet monitoring kan worden gedaan. Ook veel firewalls kunnen packet captures exporteren.

Wireshark kan de output van een groot aantal tools / apparaten inlezen:

  • pcap - Wireshark/TShark/dumpcap, tcpdump, en andere tools die het libpcap's/Npcap's/WinPcap's/tcpdump's/WinDump's capture formaat gebruiken
  • pcapng - "next-generation" opvolger van het pcap-formaat
  • snoop en atmsnoop captures
  • Shomiti/Finisar Surveyor captures
  • Novell LANalyzer captures
  • Microsoft Network Monitor captures
  • AIX's iptrace captures
  • Cinco Networks NetXRay captures
  • Network Associates Windows-based Sniffer captures
  • Network General/Network Associates DOS-based Sniffer captures
  • AG Group/WildPackets/Savvius EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
  • RADCOM's WAN/LAN analyzer captures
  • Network Instruments Observer version 9 captures
  • Lucent/Ascend router debug output
  • Bestanden van HP-UX's nettl
  • Toshiba's ISDN routers dump output
  • de output van i4btrace van het ISDN4BSD project
  • traces van de EyeSDN USB S0.
  • de output in IPLog formaat van het Cisco Secure Intrusion Detection System
  • pppd logs (pppdump formaat)
  • de output van VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities
  • de tekst output van de DBS Etherwatch VMS tool
  • Visual Networks' Visual UpTime traffic capture
  • de output van CoSine L2 debug
  • de output van InfoVista's 5View LAN agents
  • Endace Measurement Systems' ERF formaat captures
  • Linux Bluez Bluetooth stack hcidump -w traces
  • Catapult DCT2000 .out bestanden
  • Gammu genereerde tekst output van Nokia DCT3 phones in Netmonitor mode
  • IBM Series (OS/400) Comm traces (ASCII & UNICODE)
  • Juniper Netscreen snoop files
  • Symbian OS btsnoop bestanden
  • TamoSoft CommView bestanden
  • Textronix K12xx 32bit .rf5 formaat bestanden
  • Textronix K12 text file formaat captures
  • Apple PacketLogger bestanden
  • Bestanden van Aethra Telecommunications' PC108 software
  • MPEG-2 Transport Streams zoals gedefinieerd in ISO/IEC 13818-1
  • Rabbit Labs CAM Inspector bestanden
  • Colasoft Capsa bestanden

Bron: Wireshark man-page

Dienstverlening van IP-onderzoeker

De interpretatie van netwerk traces is een van de specialiteiten van IP-onderzoeker.

Wij kunnen het volgende voor u doen:

  • In samenwerking met u, op afstand, monitoring instellen om bepaalde problemen vast te leggen.
  • In ons werkgebied kunnen wij hiervoor ook bij u op locatie komen.
  • U kunt ons ook zelf netwerk traces opsturen.

Wij analyseren deze bestanden en rapporteren onze bevindingen in een overzichtelijk en begrijpelijk verslag.