qemu, kvm, xen & libvirtHauptseite | Über | Hilfe | FAQ | Spezialseiten | Anmelden

Druckversion | Impressum | Datenschutz

Netzwerk-Protokoll-Analyse IT-Forensik Computer-Forensik Honeypots QEMU Kernel-based Virtual Machine tcpdump wireshark libpcap

(Link zu dieser Seite als [[QEMU-KVM-Buch/ Netzwerkoptionen/ Netzwerk-Protokoll-Analyse]])

<<<|###| >>> | English


Netzwerk-Protokoll-Analyse mit Wireshark.
Netzwerk-Protokoll-Analyse mit Wireshark.

[bearbeiten] Netzwerk-Protokoll-Analyse

Netzwerk-Protokoll-Analysen sind unter anderen in folgenden Fällen notwendig:

QEMU und die Kernel-based Virtual Machine unterstützen die Netzwerk-Protokoll-Analyse durch das Speichern des Netzwerk-Verkehrs. Als Dateiformat wird libpcap verwendet. Damit lassen sich die Daten mit den Tools tcpdump oder Wireshark auswerten. Um den Netzwerkverkehr einer Instanz als Dump in einer Datei zu speichern, dient die Option -net dump.

Host ~$ qemu-system-x86_64 Platte.img -net dump

Im QEMU-Monitor wird mit dem Befehl info network diese Konfiguration angezeigt.

(qemu) info network
VLAN 0 devices:
  user.0: net=10.0.2.0, restricted=n
  dump.0: dump to qemu-vlan0.pcap (len=65536)
  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56

Es wird der Dump des Netzwerk-Verkehrs in die Datei qemu-vlan0.pcap geschrieben. Dies ist die Default-Einstellung. Im QEMU-Monitor kann mit dem Befehl host_net_remove der Dump abgestellt werden.

(qemu) host_net_remove 0 dump.0
(qemu) info network
VLAN 0 devices:
  user.0: net=10.0.2.0, restricted=n
  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56

Mit dem Befehl host_net_add dump wird der Dump aktiviert.

(qemu) host_net_add dump
(qemu) info network
VLAN 0 devices:
  user.0: net=10.0.2.0, restricted=n
  ne2k_pci.0: model=ne2k_pci,macaddr=52:54:00:12:34:56
  dump.0: dump to qemu-vlan0.pcap (len=65536)

Die vollständige Syntax für -net dump ist:

-net dump[,vlan=n][,file=f][,len=n]

Dabei werden die Daten des Netzwerk-Verkehrs vom VLAN n in die Datei f (Default = qemu-vlan0.pcap) geschrieben. Es lässt sich mit n die maximale Byte-Anzahl pro Packet festlegen (Default = 64k).

[bearbeiten] Auswertung mit Wireshark

Zur Auswertung der Dump-Daten kann das Tool Wireshark (http://www.wireshark.org/download.html) verwendet werden. Die Installation ist unter Debian/Ubuntu mit einer Befehlszeile erledigt.

Host ~$ sudo apt-get install wireshark

Man ruft Wireshark auf.

Host ~$ wireshark

Die von QEMU geschriebene Datei qemu-vlan0.pcap wird über Menü File, Open geöffnet. Über das Icon Reload this capture file werden neuere Einträge in der Datei qemu-vlan0.pcap angezeigt.

<<<|###| >>>

Von „http://qemu-buch.de/de/index.php?title=QEMU-KVM-Buch/_Netzwerkoptionen/_Netzwerk-Protokoll-Analyse

Diese Seite wurde bisher 17.233 mal abgerufen. Diese Seite wurde zuletzt am 23. November 2011 um 18:32 Uhr geändert. Inhalt ist verfügbar unter der GNU Free Documentation License 1.2.


Finden

Blättern

News

Deutsch
Weitersagen
Tipps für Autoren
Autoren
Impressum


English
Recommendation
The Authors
Contact



Letzte Änderungen


Ändern
Seite bearbeiten
Bearbeitungshilfe
Seitenoptionen
Diskussion
Kommentar hinzufügen
Druckversion
Seitendaten
Versionen
Links auf diese Seite
Änderungen an verlinkten Seiten
Meine Seiten
Anmelden
Spezialseiten
Neue Seiten
Dateiliste
Statistik
Kontakt
Mehr …