Netzwerküberwachung umfasst in vielen Fällen mehr als die fortlaufende Analyse der Verfügbarkeit von Servern oder die Performance der angebotenen Dienste. Auch die Überwachung von Desktoparbeitsplätzen und der dort angebotenen Dienste oder eine Überprüfung von neuen Softwareversionen auf Sicherheitslücken sind potenzielle Anwendungsszenarien für Monitoring-Tools.
Mit dem Netzwerkscanner Nmap steht ein hervorragendes Werkzeug zur Verfügung, das unkompliziert und mit vielen Optionen eine Übersicht der im lokalen Netz angebotenen Dienste liefert. Es ermöglicht dem Administrator auf der Kommandozeile eine Fülle von Scans gegen ganze Netze und Portbereiche und ist auf allen Unix-Systemen verfügbar.
Darüber hinaus bietet Nmap verschiedene ScanModi, die eine ganze Palette von Möglichkeiten eröffnen. Für einen schnellen Überblick, welche Rechner in einem Netz vorhanden und aktiv sind, bietet sich der List-Scan »nmap -sL« oder ein Ping-Scan »nmap -sP« an.
Im einem zweiten Schritt kommen erweiterte Scan-Techniken zum Einsatz, mit denen offene Ports, verwendete Betriebssysteme oder auch die Versionen der angebotenen Dienste identifiziert werden.
Nmap kann dabei sowohl TCP-Scans in verschiedenen Varianten als auch UDP-Scans durchführen. Bei Letzteren sollte aber beachtet werden, dass diese möglicherweise aufgrund von Beschränkungen der ICMP-Pakete etwas länger dauern. Drei bis vier Sekunden pro gescanntem Port sind dabei keine Seltenheit, was einen Scan über 1000 Ports schnell über eine Stunde dauern lässt. Hier helfen dann nur noch gezielte Abfragen weiter.
Sniffing
»iptraf« und »intop«sammeln Netzwerkdatenund präsentieren die Daten in konfigurierbarenTabellen. Den Traffic aufdem lokalen Rechner,einer Firewall oder einemRouter listet der Aufruf»iptables -L -vv -x« gezählt und sortiert nachden Regelketten einerinstallierten Firewall.
Scanner
Neben »nmap«,»ethereal«und »wireshark« identifizieren auch »nessus«und dessen freies Pendant»openVAS« angeboteneServices oder Schwachstellen auf Rechnern.