====== Netzwerk-Tools ======

===== Grundlegende Netzwerktools =====


==== netstat ====

Das Kommandozeilen-Tool **netstat** existiert sowohl auf Windows- als auch auf Linux-Systemen (unter Ubuntu neu: ''ss'', siehe unten). Durch den Aufruf ''netstat --help'' kann man die integrierte Hilfe aufrufen.

Das Werkzeug ist dazu geeignet, aktive Netzwerkverbindungen und lauschende Netzwerkverbindungen auf einem Host anzuzeigen um zu sehen, welche Verbindungen gerade aktiv sind und welche Dienste Ports geöffnet haben.

Eine Alternative mit grafischer Oberfläche gibt es für Windows-Betriebssysteme mit dem Microsoft Sysinternals-Tool [[https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview|TCPview]].

----
=== netstat auf Ubuntu Linux ===

Das Tool netstat ist auf neueren Ubuntu-Systemen nicht mehr vorinstalliert. Es wurde durch das neuere Tool ''ss'' ersetzt. Diese Bezeichnung steht für **s**ocket**s**tat.

Mit dem Aufruf ''ss -tnlp'' kann man sich z. B. alle TCP-Listening Ports anzeigen lassen.

==== Wireshark ====

Wireshark ist ein weit verbreitetes Tool mit grafischer Oberfläche, mit dem man Netzwerkverkehr mitschneiden, live beobachten und analysieren kann. Es ist auf allen gängigen Betriebssystemen verfügbar. Es kann guten Gewissens als das wichtigste Werkzeug bei der Fehlersuche im Netzwerk bezeichnet werden.

[[https://www.wireshark.org]]

[[https://www.wireshark.org/docs/wsug_html_chunked/|Wireshark-Benutzerhandbuch]]

[[https://www.wireshark.org/docs/wsug_html_chunked/ChapterUsing.html|Wireshark-Benutzerhandbuch, Abschnitt User Interface]]

[[wireshark|Schulungsunterlagen zu Wireshark Wireshark]]

==== tcpdump ====

Da vor allem auf Linux-Servern nur selten eine grafische Oberfläche zur Verfügung steht, wird hier zum mitschneiden von Netzwerkverkehr häufig ''tcpdump'' verwendet. Netzwerkverkehr live mit tcpdump zu beobachten funktioniert nur sehr eingschränkt, weil die Textkonsole wenig Darstellungsmöglichkeiten bietet. Die mit tcpdump erzeugten Mitschnitte lassen sich aber auf einen Host mit Wireshark kopieren und dort nachträglich auswerten.

**Achtung!** Beachte für die Verwendung von tcpdump auf deinen Ubuntu-Containern den nächsten Absatz.

[[https://danielmiessler.com/study/tcpdump/|tcpdump-Tutorial mit Beispielen]]

----
=== tcpdump im LXC-Container auf Ubuntu Linux ===

Ein Bug in der Implementierung des Sicherheitswerkzeugs **apparmor** verhindert, dass in unprivilegierten LXC-Containern der Mitschnitt auf der Kommandozeile ausgegeben werden kann. Dafür gibt es einen Workaround:

<code shell>
# zuerst müssen die Einstellungswerkzeuge für apparmor installiert werden
apt install apparmor-utils

# danach kann der fehlerhafte Schutz für tcpdump ausgeschaltet werden
aa-complain $(which tcpdump)
</code>
==== nmap ====

Bei ''nmap'' handelt es sich um einen sehr bekannten Portscanner. Der Hauptzweck dieses Tools ist es, Pakete an Hosts zu senden und dadurch zu überprüfen ob dieser an TCP- oder UDP-Ports Verbindungen annimmt. In gewissem Umfang ist es auch möglich zu ermitteln, welcher Dienst den jeweiligen Port geöffnet hält.

Nmap ist unter anderem bei der Fehlersuche zu fehlgeschlagenen Verbindungsversuchen ein nützliches Werkzeug. Er kann sowohl unter Windows als auch unter Linux eingesetzt werden.

[[https://nmap.org]]

[[https://hackertarget.com/nmap-tutorial/]]


==== netcat ====

Netcat (Aufruf als ''nc''), welches auch gerne als das schweizer Taschenmesser unter den Netzwerk-Tools bezeichnet wird, ist ein sehr einfaches Kommandozeilen-Tool. Auf Linux-Systemen ist es häufig bereits vorinstalliert und auf Windows-PCs kann es nachträglich installiert werden. Wenn ''nmap'' bereits installiert ist, kann die darin enthaltene Alternative ''ncat'' verwendet werden.

Netcat ist in der Lage TCP- oder UDP-Verbindungen über das Netzwerk aufzubauen oder einen Listening-Port für eingehende TCP- oder UDP-Verbindungen zu öffnen.

----
==== Übersicht ====

^  Tool  ^  Einsatzzweck  ^  Einsatzumfeld  ^
| netstat | Anzeige von bestehenden Verbindungen und Listening Ports auf dem eigenen System | Netstat steht auf der Windows- und Linux-Kommandozeile zur Verfügung. Unter Ubuntu Linux wurde netstat durch ss (socket state) ersetzt, kann aber nachinstalliert werden. |
| Wireshark | Tool mit grafischer Oberfläche zur Anzeige und eingehenden Analyse von Netzwerkverkehr | Wireshark ist für alle gängigen Betriebssystemen verfügbar, benötigt aber eine grafische Oberfläche. |
| tcpdump | Kommandozeilen-Tool zur Anzeige und zum Mitschneiden von Netzwerkverkehr | Linux-Kommandozeile |
| nmap | Portscanner: Konnektivität zu Netzwerkdiensten auf entfernten Hosts überprüfen | Kommandozeile, alle gängigen OS; unter Windows auch mit GUI (Zenmap) |
| netcat | Tool zum Erstellen von TCP- und UDP-Sockets / -Verbindungen | Kommandozeile, alle gängigen OS; muss unter Windows nachinstalliert werden; nmap-Installation stellt die Alternative ncat bereit |