Practical Packet Analysis

Vor kurzem ist bei NO STARCH PRESS das Buch “Practical Packet Analysis” erschienen. Dieses Buch, das den Untertitel “Using Wireshark to Solve Real-World Network Problems” hat, wurde von Chris Sanders geschrieben, das technische Review wurde von Gerald Combs (dem Schöpfer von Ethereal/Wireshark) durchgeführt.

Das klang gut genug, um das Buch sofort zu bestellen. Die Ernüchterung stellte sich ziemlich schnell ein. Zum einen hat das Buch nichts mit “solving real-world problems” zu tun, zum anderen ist es auch technisch teilweise fragwürdig.

Aber alles der Reihe nach, ob positiv oder negativ:

Die ersten 25 Seiten (das Buch hat effektiv nur 150 Seiten) sind eine Einführung in Netzwerktechnik, OSI, Hubs und Switches. Wer das nicht kennt, kommt vermutlich nicht auf die Idee, überhaupt ein Buch über Paketanalyse anzufassen.

Die nächsten 23 Seiten und zwei Kapitel beschäftigen sich mit der Installation, einer Einführung in Wireshark und das Arbeiten mit Captures. Meiner Meinung nach könnte der Part mit den Capture- und Display-Filtern deutlich ausführlicher und mit mehr Beispielen versehen sein. Denn die benötigt man sicher am häufigsten.

10 Seiten “Advanced Wireshark Features” schließen sich an. Das sind Funktionen wie Following TCP-Streams, Statistics, Endpoints, Conversations und IO-Graphs.

Im Kapitel 6 geht es dann um Common Protocols. Ab jetzt benötigt man die im Internet verfügbaren Beispiel-Capture-Dateien, um den Beispielen folgen zu können. Die im Buch abgedruckten Screenshots sind nicht komplett, so werden bei der Erklärung von DHCP z.B. nur Discover, Offer und Ack angezeigt. Und wer mit TCP/IP nicht ganz sattelfest ist, könnte sich bei dem Beispiel auch fragen, warum der DHCP-Server sein Offer an eine IP 192.168.0.10 sendet, obwohl der Client noch keine IP-Adresse hat. Dieses Beispiel war zwar nicht schlüssig, das gesamte Kapitel zeigt aber ganz gut das Verhalten von einigen wichtigen Protokollen.

Im Kapitel 7 geht es um “Basic Case Scenarios”. Captures zu TCP-Retransmits, Unreachables, und fragmentierten Paketen werden vorgestellt.

Dann kommen aber die “Cases” und es wird etwas sonderbar. Zum Beispiel, dass Wireshark in vielen Beispielen direkt auf den Endgeräten installiert wird. Im “About the Author” wird Chris Sanders als Admin von 1800 Workstations und 20 Servern beschrieben. Bei Problemen wird man in solch einer Umgebung wohl kaum einen Sniffer auf den PCs der User installieren.
Im Beispiel “No Connectivity” wird dann ein Problem mit einem falsch konfigurierten Default-Gateway analysiert und gelöst. Als Admin würde ich mir bei dem Screenshot allerdings mehr Sorgen darüber machen, dass zwei PCs dieselben MAC-Adressen haben.
Ein paar “Cases” weiter wird mit Wireshark “bewiesen”, daß es nicht am Netz liegt, wenn der User nicht erfolgreich auf einen Webserver zugreifen kann. Der “Beweis” ist die mitgesnifferte Webseite mit der IIS-Fehlermeldung, die der Server zurückliefert. Ob man dafür wirklich einen Sniffer auf dem User-PC installieren muß, wenn man die Fehlermeldung doch auch im Browser sieht, halte ich mal wieder für fraglich.

Im Kapitel 8 gehen die Cases unter dem Motto “Fighting a slow Network” weiter. Es werden Features wie die Expert-Infos und der TCP-Stream-Graph angesrochen, leider werden diese leistungsfähigen Funktionen nicht näher erklärt.
Kriminell wird es dann im Case “a slow Route”. Mit Hilfe von Wireshark wird “bewiesen”, daß der Grund für ein langsames Netz der lokale Router ist. Der Beweis ergab sich daraus, daß der Router nicht auf ICMP-Echo-Requests antwortet. Aha!
Besser wird es auch nicht im Case “Double Vision”. Ein Computer ist sehr langsam, alle Pakete werden doppelt angezeigt, aber mit unterschiedlichen TTL-Werten. Die Lösung soll eine falsch konfigurierte Subnet-Mask gewesen sein. Eine Erklärung wird aber für dieses Phänomen nicht gegeben.
Genauso im Case “A Torrential Downfall”, in dem der Edge-Router unter der Last vieler Verbindungen leidet. Nach dem Durchscrollen vieler Pakete kommt man dann irgendwann zum Paket 99, in dem der Client eine Multicast-DNS-Anfrage nach einer BitTorrent Adresse stellt. Das Problem ist damit gelöst, auf geht es zum nächsten Case.
In diesem (POP goes the E-Mail-Server) wird Wireshark dann auf dem Mail-Server installiert, um zu erkennen, warum die Mailzustellung um bis zu 15 Minuten verzögert ist. In dem Capture zeigt sich dann, daß der Server unter der SPAM-Last leidet. Andere Admins hätten vielleicht einfach erstmal auf die Mail-Queue geschaut, bevor sie eine extra Software auf einem kritischen Server installiert hätten.

Kapitel 9 widmet sich dann der “Security-based Analysis”. Da wird dann ein kompromittierter Client identifiziert, weil dieser kaputte Druckjobs zu einem Printserver sendet. Desweiteren wird mit Wireshark herausgefunden, warum ein PC nach dem Start sofort meldet, daß er in 60 Sekunden heruntergefahren wird (der Blaster eben). Damit noch nicht genug: Zwei kriminelle Mitarbeiter werden überführt, weil sie sich gegenseitig angepingt haben (die haben es auch nicht besser verdient, wenn sie einen unverschlüsselten Covert-Channel verwenden).

Das Kapitel 10 kann dann zwar wieder etwas gut machen, denn die Ausführungen “sniffing into thin air” erklären recht gut das Sniffen in Wireless Netzen. In diesem Kapitel werden nicht nur ein paar Eigenheiten von WLANs erläutert sondern auch die Filter, die man benötigen könnte.

Gibt es denn auch etwas gutes an diesem Buch? Ja, da ist natürlich das Wireless-Kapitel, das mir recht gut gefallen hat. Ansonsten kann das Buch “genau richtig” sein, wenn man sich noch nie mit Paket-Sniffern beschäftigt hat und einen Einstieg in die Benutzung von Wireshark sucht. Mit dem Buch als Anleitung kann man seine ersten Sniffing-Gehversuche starten

Wenn man aber schon vorher mit Wireshark oder auch einem anderen Protokoll-Analyser gearbeitet hat, ist das Buch sicher keine lohnende Investition.

Practical Packet Analysis

4 Replies to “Practical Packet Analysis”

  1. Super Bericht! Hast in der Tat ein paar grobe Fouls gefunden. Ich glaube die Autoren wollten schnell fertig werden und dachten, dass der Name schon für Absatz sorgen wird. Vermutlich tut er das auch 😉
    Ich hätte aber gerne ein Buch genau zu diesem Komplex gekauft.
    Hättest du einen Vorschlag, was man sich bestellen könnte?
    DANKE!

  2. Mein “perfektes Wireshark-Buch” ist vermutlich noch nicht geschrieben … 😉 Daher gibt es leider keine Empfehlung von mir.

  3. @one.of.foo: Oha, das war vernichtend. Vielleicht sollte man vor einer Bestellung doch auch in die amerikanischen Reviews schauen.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.