Moderne Sniffer bedienen sich etlicher ausgefeilter Tricks, um eine große Menge Pakete inspizieren zu können, ohne den Netzwerktraffic auszubremsen. Ein Blick hinter ihre Kulissen lohnt auch für Anwender.
Ein handfester Vorteil einer detaillierten Beschäftigung mit der Technik aktueller Sniffer wie Netsniff-NG besteht beispielweise darin, dass man hernach in der Lage ist Berkeley Packet Filter zu schreiben, die es wiederum dem Kernel erlauben, höchstselbst nach den gewünschten Paketen zu fischen, statt sie erst umständlich und zeitraubend in den Userspace zu kopieren. Zwar muss man etwas Gehirnschmalz investieren, bis man sich in die Assembler-ähnliche Syntax der virtuellen Maschine im Kernel eingearbeitet hat, dafür erhält man aber eine sehr schnelle. elegante und effiziente Analysemethode für den Netzwerkverkehr. Wer das nicht auf sich nehmen möchte, der darf auch Filter in der Schreibweise von TCPDump entwerfen, die man kreuzkompilieren kann. Auch das beschreibt der vorliegende Beitrag, der seinen Gegenstand zudem mit vielen Beispielen anschaulich macht.
Wer keinen neuen Beitrag und kein neues Feature der Linux Technical Review mehr verpassen möchte, der abonniert am besten diesen kostenlosen und unverbindlichen Newsletter, der wöchentlich über das Aktuellste informiert.
