Abbildung 1: Hugeurl.com sorgt für das Gegenteil einer Short Story. Nach dem Eintippen dieser URL – das Bild zeigt nur die erste Hälfte – landet der Benutzer entschleunigt auf Linux-Magazin Online.
Ernst ist das Leben, heiter die Kunst: Sysadmin Charly liefert diesmal eine Doppelkolumne ab – mit einem durch und durch ernst zu nehmenden TCP-Sniffer, gefolgt von einer Portion April-April-URL.
Abbildung 1: Hugeurl.com sorgt für das Gegenteil einer Short Story. Nach dem Eintippen dieser URL – das Bild zeigt nur die erste Hälfte – landet der Benutzer entschleunigt auf Linux-Magazin Online.
Wer Netzwerkdienste entwanzen muss, packt Tcpdump und Wireshark aus. Aber mal ehrlich: Beide sind alles andere als intuitiv zu bedienen und das Interpretieren der Ergebnisse will gelernt sein. Weniger mächtig, aber ungleich verständlicher zeigt sich Tcpflow [1]. Es präsentiert die Ergebnisse nicht Paket für Paket, sondern fasst sie als Datenstrom zusammen. Das ist der Flow, dem das Tool seinen Namen verdankt. Es sortiert alle offenen Verbindungen zu Quelle-Ziel-Pärchen und zeigt deren Datenverkehr zusammenhängend. Ich muss mich nicht um Sequenznummern und Out-of-Order-Pakete kümmern.
Ein typischer Aufruf lautet: »tcpflow -i eth0 -c -e« . Der Parameter »-i« wählt das zu belauschende Interface aus, mit »-c« schickt Tcpflow die Daten auf die Konsole. Lasse ich den Parameter weg, schreibt das Tool den Inhalt jedes Flow in eine Datei, deren Name sich aus Quell-IP, Ziel-IP und den Portnummern ergibt.
Der Parameter »-e« , den Tcpflow offenbar aber nicht auf allen Linux-Distributionen kennt, färbt die Verbindungen von Server und Client auf der Konsole unterschiedlich ein.
Ganz im Tcpdump-Stil kann ich Filter aktivieren, um die Anzeige auf bestimmte Quellen, Ziele oder Ports einzugrenzen:
tcpflow -i eth0 -c -e port 143
Das Beispiel listet nur IMAP-Verbindungen. In Abbildung 2 verbindet sich mein Browser per HTTP zu Linux-Magazin Online. Dort ist schön zu sehen, wie Tcpflow auch den Inhalt des Cookies anzeigt, das die Webseite überträgt.
Abbildung 2: Tcpflow fasst die Dumps der Pakete von Client (Charlys Browser, oben) und Server (»www.linux-magazin.de«, unten) zu Flows zusammen.
Länger ist besser
Vor gut einem Jahr habe ich hier den URL-Verkürzer Yourls (Your Own URLs) ins Licht gerückt [2]. Yourls bastelt mir mit Hilfe von Apaches Mod_rewrite-Funktion aus langen URLs praktischerweise kurze. Nur: Verliert die Webwelt durch solche Fastfood-URLs nicht an Kultur?! Genervte Admins schlagen mit URLs epischer Dimensionen zurück. Die generieren sie etwa mit Hugeurl.com [3], einem Dienst, der die Webadresse [www.linux-magazin.de] in das Monstrum aus Abbildung 1 verwandelt. (jk)
Infos
- Tcpflow: http://www.circlemud.org/~jelson/software/tcpflow/
- Charly Kühnast, “Short Story”: Linux-Ma-gazin 02/10, S. 67, https://www.linux-magazin.de/Heft-Abo/Ausgaben/2010/02/Short-Story
- Hugeurl.com: http://hugeurl.com
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.
