Die Bridge ist mit wenigen Befehlen auf der Kommandozeile aktiviert. Sie konfigurieren die Ethernet-Schnittstellen, erstellen das Bridge-Device, ordnen ihm die Ports zu und konfigurieren es anschließend:
ifconfig eth1 -arp promisc 0.0.0.0 up
ifconfig eth2 -arp promisc 0.0.0.0 up
brctl addbr br0
brctl addif br0 eth1
brctl addif br0 eth2
ifconfig br0 -arp promisc 0.0.0.0 up
Das Tool brctl steckt im eventuell nachzuinstallierenden Paket bridge-utils. Die ifconfig-Parameter -arp promisc schalten die IP-Adressauflösung per ARP aus und weisen die Schnittstellen an, Pakete anzunehmen, auch wenn sie nicht an sie selbst gerichtet sind. Als Datenquelle für das Sniffing-Tool fungiert dann das Bridge-Device br0. Eine eventuell eingerichtete Soft-Firewall sollte man für die Bridge-Interfaces abschalten.
Je nach verwendeter Linux-Distribution muss man noch eventuell tätige DHCP-Clients deaktivieren: Bei einem von der Live-CD gestarteten Knoppix wollte pump immer wieder die Schnittstellen neu konfigurieren, was zum Verbindungsabriss führte. Das Abschießen des pump-Daemons mittels killall pump genügte in unserem Versuch nicht, auch der pump startende udevd-Daemon musste per killall terminiert werden. Bei einem auf Platte installierten Linux setzt man in der Systemeinstellung feste Adressen, damit der DHCP-Client erst gar nicht anläuft.
Zum Beobachten von Fast-Ethernet-Links genügt schon ein alter Rechner: Sowohl mit einem Pentium-3-Notebook mit 850 MHz als auch einem Athlon-1000-PC beeinträchtigte die Soft-Bridge weder den Durchsatz (93 bis 94 MBit/s) noch führte sie zu Paketverlusten. Wichtig ist dabei, im Sniffer-Tool schon beim Aufnehmen einen Filter für die interessierenden Protokolle, beispielsweise ICMP oder SIP, oder Stationen zu setzen. Das spart wertvollen Arbeitsspeicher, der als Paketpuffer dient. Denn bei einer längeren Vollduplex-Aufzeichnung ohne Filter sind 500 MByte nach einer halben Minute gefüllt. Auch das Abschalten der fortlaufenden Paketanzeige in Wireshark (Update list of packets …) erleichtert verlustfreie Aufzeichnung, weil es CPU-Zyklen spart.
Mit Gigabit-Ethernet ist solch ein älteres PC-Modell jedoch überfordert: In unseren Versuchen lag der Durchsatz je nach verwendeten Netzwerkkarten bei 120 bis 400 MBit/s. Immerhin war auch dabei die Aufzeichnung verlustfrei. (ea/c't)
Themenforum: Layer 1 & 2
