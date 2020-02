Wenn Internetvideos stocken, ist nicht immer der Provider schuld: Manchmal stopfen eigene Geräte den Router mit einem Backup-Upload zu, manchmal holen Windows-PCs zur Unzeit ihre Patches.

Wer solche Binnentäter ermitteln will, muss sich den Netzwerkverkehr über längere Zeit anschauen. Wenn die Statusseite des Routers dafür nicht genug Details liefert, setzt man üblicherweise Analyse-Schwergewichte wie Wireshark oder MRTG/PRTG auf ausgewachsenen PCs ein.

In kleinen Netzen lässt sich das quelloffene Monitoring-Tool ntopng notfalls sogar auf einem Raspberry Pi betreiben, auch in Form des c't-Raspion. ntopng zeigt nicht nur auf einer übersichtlichen Browserseite an, welcher Netzteilnehmer wieviel IP-Verkehr verursacht.

Spurensicherung im Netzwerk

Ntopng greift auf externe Security-Listen wie Cisco Talos Intelligence oder die SSL Blacklist (SSLBL) zu. Deshalb schlägt das Tool Alarm, wenn Geräte Ihres Netzwerks mit bekannt bösartigen Hosts im Internet kommunizieren und warnt, falls es bei verschlüsselten Verbindungen veraltete Algorithmen oder gefälschte Zertifikate untergeschoben bekommt.

In Ausgabe 4/2020 schildert c't im Detail, wie man ntopng einrichtet. c't liefert Anleitungen für drei preiswerte Sniffing-­Techniken und erklärt, wie der Sniffing-PC die zu analysierenden Datenpakete an das Monitoring-Tool liefert. Außerdem liefert die Redaktion jede Menge Tipps, was es beim Einsatz von Portmirroring an Switches in größeren Netzen zu beachten gilt. Mehr zum Monitoring im c't-Schwerpunkt Netzwerk-Live-Diagnose mit ntopng. (uk)