TrafMeter :: FAQ Traffic

Traffic counting with TrafMeter FAQ

F: Ich habe TrafMeter auf einem NAT router installiert, um den Internettraffic der Arbeitsstationen im lokalen Netzwerk zu messen. Dazu habe ich für jede Arbeitsstation einen Filter mit der Regel "Eine spezifische IP Adresse <-> IP Adressen des WAN" mit dem Flag "Beide Richtungen" erstellt. LAT wurde korrekt erstellt und die Netzwerkadapter ausgewählt. Nach dem Starten der Verarbeitung werden aber nur eingehende Bytes gezählt, nicht aber die Ausgehenden. Wie kann das Problem umgangen werden?

A: Verwenden Sie den aktiven Verarbeitungsmodus um Traffic auf NAT Routern zu erfassen.

F: Wie erfasst TrafMeter die Länge der IP Pakete?

A: Jedes IP Paket besitzt ein Feld "Total Length" im Header. Dieses Feld enthält die Gesamtanzahl an Bytes im Paket, inklusive der Länge des Headers. TrafMeter benutzt diesen Wert um die Länge des IP Paketes zu ermitteln.

F: Ich habe einen Filter mit einer Regel erstellt, die Traffic von "Allen IP Adressen" zu "Allen IP Adressen" aufzeichnen soll. Die "gespiegelt" Option ist aktiviert. Die Anzahl der gesendeten Bytes entspricht der Anzahl der verarbeiteten Bytes. Nur die Anzahl der empfangenen Bytes ist '0'. D.h. eingehender Traffic wird nicht gezählt. Warum?

A: Datenverkehr kann nicht in gesendete und empfangene Richtung gesplittet werden, wenn die Option von jeder zu jeder IP Adresse verwendet wird und die "gespiegelt" Option aktiviert ist. Zur Erklärung: Stellen Sie sich vor, Sie stehen gleichzeitig auf beiden Seiten einer Strasse und zählen die Autos die von beiden Seiten kommen. Welches sind nun die Autos die von rechts und welche sind jene Autos die von links kommen? Dies ist nicht beantwortbar, solange Sie keinen Referenzpunkt für die Richtung haben.

F: Ich habe einen Filter mit "Mein Computer" zu "Jeder Adresse" erstellt, der ausschließlich ICMP Pakete erfasst. Wenn ich einen PC im Netzwerk anpinge, arbeitet der Zähler ganz normal. Wenn ich aber einen nicht existierenden PC anpinge, werden die Zähler nicht aktualisiert. Was läuft hier falsch?

A: Wenn Sie einen PC im Netzwerk anpingen, so wird eine ARP-Anforderung gesendet um die MAC-Adresse der angepingten IP-Adresse zu ermitteln. Wenn Ihr Computer keine ARP-Antwort auf die Anforderung erhält (weil die Zieladresse nicht existiert) wird ihr Computer auch kein ICMP Paket verschicken. Deshalb werden auch die Zähler nicht erhöht.

F: Meine Internetverbindung läuft über einen an einen Ethernet Hub angeschlossenen DSL Router. Mein PC hat die IP Adresse 192.168.1.2 und mein DSL Router die IP Addresse 192.168.1.1. Nun möchte ich den Datenverkehr zwischen meinem PC und dem Internet messen. Dazu habe ich einen Filter mit einer Regel erstellt die 192.168.1.2 als Ursprungsadresse und 192.168.1.1 als Zieladresse enthält. Nach dem Starten der Verarbeitung bleiben aber alle Zähler auf 0. Was mache ich falsch?

A: Der von Ihnen definierte Filter verarbeitet ausschließlich Pakete, die an den Router gerichtet sind. Pakete ins oder vom Internet haben als Zieladresse aber nicht die Adresse des Routers. Die von Ihnen gewünschte Verarbeitung erreichen Sie am besten dadurch, in dem Sie die LAT mit den IP-Adressen ihres lokalen Netzwerkes definieren. Anschließend verwenden Sie in der Filterregel anstatt der IP des Routers den Ausdruck "IP Adressen des WAN".

F: Ich benutze TrafMeter auf meinm Internetgateway auf dem auch der Proxy Server SquidNT läuft. Alle Arbeitsstationen im lokalen Netzwerk benutzen den Proxy. TrafMeter zeichnet jetzt einwandfrei den Traffic zwischen den Clients und dem Proxy auf. Ich möchte nun aber den Traffic, der aus dem Cache kommt, nicht aufzeichnen. Wie wird das gemacht?

A: Das ist nicht möglich. TrafMeter verarbeitet Netzwerkpakete und diese Pakete enthalten keine Informationen, ob diese aus dem Internet kommen oder aus dem Cache des Proxy.

F: Wie kann man FTP Datenverkehr messen?

A: FTP ist eine Abkürzung für "File Transfer Protocol" (www.deerfield.com). FTP wird für die Übertragung von Dateien über das Internet benutzt. Es gibt 2 Typen von FTP Verbindungen: "aktive" und "passive". Die Regeln, die Sie definieren müssen um FTP Datenverkehr aufzuzeichnen, sind abhängig vom verwendeten FTP Typ. Standardmäßig wird von den meisten Browsern "Passives FTP" benutzt, während bei vielen speziellen FTP Client Applikationen (z.B. CuteFTP, Internet Neighborhood, WS-FTP) das "Aktive FTP" benutzt wird.

Unabhängig vom verwendeten Typ besteht jede FTP Übertragung aus 2 unabhängigen Verbindungen zwischen dem Client und dem FTP Server. Eine dieser Verbindungen wird als "Control" Verbindung bezeichnet. Diese Verbindung übernimmt das Verbinden und das Login zum FTP Server. Sobald der User eingeloggt ist, wird die "Data" Verbindung erstellt, welche die Verzeichnisinhalte überträgt und über die die Dateien herunter- und hochgeladen werden.

Die "Control" Verbindung unterscheidet sich bei Passiv und Aktiv FTP nicht. Der Client baut eine TCP Verbindung vom temporären Bereich seiner TCP-Ports zum Server-Port 21 auf und sagt "Hallo! Ich möchte eine Verbindung mit Dir aufbauen. Hier ist meine Name und mein Passwort". Was anschließend passiert, hängt davon ab ob Aktiv oder Passiv FTP verwendet wird.

Information: Als temporärer Port-Bereich wird jener Bereich von Ports bezeichnet, der oberhalb von 1023 liegt.

Im Aktiv FTP Modus übermittelt der Client schon beim "Hallo" dem Server einen weiteren Port aus dem temporären Bereich. Der Server versucht bei korrekten Logindaten, eine "Data" Verbindung mit diesem Port aufzubauen. Auf Serverseite wird dazu der TCP Port 20 verwendet.

Im Passiv Modus übermittelt der Server nach erfolgreichem Login dem Client einen Port aus dem temporären Bereich, den der Client dazu benutzen muss, um selbst die "Data" Connection aufzubauen. Für die "Data" Connection verwendet der Client ebenfalls einen Port aus dem temporären Bereich.

Der Hauptunterschied liegt also darin, von welcher Seite die "Data" Verbindung aufgebaut wird. Beim aktiven FTP wird die "Data" Verbindung von einem fixen Port aus aufgebaut. Im passiven Modus ist stets der Client der Ausgangspunkt der Verbindungen.

Beispiel für "Aktives FTP":
[1] "Control" Verbindung: Client Port 1026 -> Server Port 21
[2] "Data" Verbindung: Server Port 20 -> Client Port 1027

Beispiel für "Passives FTP":
[1] "Control" Verbindung: Client Port 1026 -> Server Port 21
[2] "Data" Verbindung: Client Port 1027 -> Server Port 2065

Wir hoffen, dies reicht aus um die richtigen Regeln zu kreieren, um FTP Traffic aufzuzeichnen.