Frank Walther
Networker's Guide
Frank Walther
Networker's Guide
- Buch
- Merkliste
- Auf die Merkliste
- Bewerten Bewerten
- Teilen
- Produkt teilen
- Produkterinnerung
- Produkterinnerung
Dieses Buch bietet Ihnen eine Fülle Tipps und Tricks für die tägliche berufliche Praxis, die Ihnen beim Aufspüren und Beheben von Problemen in Ihrem Windows-NT-Netzwerk helfen. Es führt Sie in die LAN-Analyse ein und zeigt, wie Sie diese in Ihren betrieblichen Alltag eingliedern , um Ihr Netzwerk effektiver zu verwalten. Sie entdecken Leistungsreserven, vermeiden Reibungsverluste und Fehlinvestitionen und können im Störfall schnell und gezielt Abhilfe schaffen. Besonders wertvoll: Der Autor hat eine Datenbank von Registry-Schlüsseln zusammengestellt, mit denen Sie typische Einstellungen…mehr
Dieses Buch bietet Ihnen eine Fülle Tipps und Tricks für die tägliche berufliche Praxis, die Ihnen beim Aufspüren und Beheben von Problemen in Ihrem Windows-NT-Netzwerk helfen. Es führt Sie in die LAN-Analyse ein und zeigt, wie Sie diese in Ihren betrieblichen Alltag eingliedern , um Ihr Netzwerk effektiver zu verwalten. Sie entdecken Leistungsreserven, vermeiden Reibungsverluste und Fehlinvestitionen und können im Störfall schnell und gezielt Abhilfe schaffen. Besonders wertvoll: Der Autor hat eine Datenbank von Registry-Schlüsseln zusammengestellt, mit denen Sie typische Einstellungen festhalten und Fehler diagnostizieren können. Auf der CD finden Sie Test- und Vollversionen zu LAN-Analyse-Software.
Produktdetails
- Produktdetails
- Verlag: Markt & Technik ein Imprint von Pearson Deutschland
- ISBN-13: 9783827257390
- ISBN-10: 3827257395
- Artikelnr.: 24638236
- Herstellerkennzeichnung Die Herstellerinformationen sind derzeit nicht verfügbar.
- Verlag: Markt & Technik ein Imprint von Pearson Deutschland
- ISBN-13: 9783827257390
- ISBN-10: 3827257395
- Artikelnr.: 24638236
- Herstellerkennzeichnung Die Herstellerinformationen sind derzeit nicht verfügbar.
Vorwort 23
Kapitel 1 Das Werkzeug 25
1.1 Kriterien für LAN-Analysatoren 26
1.2 Grundfunktionen 27
1.2.1 Bedienbarkeit und Training 27
1.2.2 Hardware-Nähe 29
1.2.3 Promiscuous Mode 30
1.2.4 Monitoring vs. Analyse 31
1.2.5 Capturing 31
1.2.6 Filtering 33
1.2.7 Endlosaufzeichnungen 43
1.2.8 Expertendiagnose 45
1.2.9 Auto-Learning 48
1.2.10 Protocol Decoding 48
1.2.11 Zwischenfazit 52
1.3 Geräteklassen 52
1.3.1 Local Analyzer <> Remote Analyzer 53
1.3.2 Hardware-Analyzer <> Software-Analyzer 55
1.3.3 Hand-held Analyzer <> PC-Analyzer 57
1.3.4 Echtzeit-Analyzer <> Nicht-Echtzeit-Analyzer 57
1.3.5 Online-Analyzer <> Offline-Analyzer 58
1.3.6 Dual-Port Analyzer <> Single-Port Analyzer 58
1.3.7 External Analyzer <> Internal Analyzer 58
1.3.8 Active Analyzer <> Passive Analyzer 59
1.4 Fazit 60
Kapitel 2 Hersteller und Produkte 61
2.1 Analyse: Software-Produkte 62
2.1.1 AG Group: EtherPeek/TokenPeek 62
2.1.2 Chevin: CNA Pro/LAN Fox 62
2.1.3 Cinco: NetXRay 62
2.1.4 GN Nettest: InterWatch/Win Pharaoh 63
2.1.5 Hewlett-Packard: Internet Advisor 63
2.1.6 Ipswitch: What's Up Gold 63
2.1.7 LMC: CINeMa 63
2.1.8 NAI/Network Associates, Inc.: Sniffer 64
2.1.9 NDG Software: EtherBoy/PacketBoy 64
2.1.10 Net3Group: NetSense/ProConvert 64
2.1.11 Network Instruments: (Distributed) Observer 64
2.1.12 Novell: LANalyzer for Windows/ManageWise 65
2.1.13 Precision Guesswork: LANwatch32 65
2.1.14 RADcom: RC-88 - RC-100 65
2.1.15 RzK: NetQ&A - NetControl 65
2.1.16 Shomiti: Surveyor/Century Tap 66
2.1.17 Triticom: LANdecoder32 66
2.1.18 Wavetek Wandel Goltermann: Domino 66
2.2 Analyse: Hardware-Produkte 67
2.2.1 Fluke: OneTouch - LAN Meter 67
2.2.2 Microtest: Omni/Penta/Micro Scanner 67
2.3 Shareware/Freeware 67
2.3.1 4Net 67
2.3.2 Any Speed 67
2.3.3 Big Brother 68
2.3.4 Free Wizard 68
2.3.5 IDyle GimmIP 68
2.3.6 Internet Anywhere Toolkit 68
2.3.7 Internet Maniac 68
2.3.8 IP Network Browser 68
2.3.9 IP Sentry 69
2.3.10 IP Subnet Calculator 69
2.3.11 NeoTrace 69
2.3.12 NetCat 69
2.3.13 NetoScope 69
2.3.14 Netscan Tools 69
2.3.15 Ping Plotter 70
2.3.16 PortFlash 70
2.3.17 Recon-1 lite 70
2.3.18 Remote Logout 70
2.3.19 Remotely Possible 70
2.3.20 Servers Alive? 70
2.3.21 Sniff It 71
2.3.22 Subnet Wiz 71
2.3.23 Visual Route 71
Kapitel 3 Grundlagen der Methodik 73
3.1 Eingrenzung von Maschine, Schicht, Ort 74
3.2 Die klassischen Netzwerkfehler 75
3.3 Erste Schritte 76
3.3.1 Interner oder externer Techniker? 77
3.3.2 Dokumentation - ja oder nein? 77
3.3.3 Der erste, schnelle Überblick 78
3.3.4 Eingrenzung des Ortes 79
3.3.5 Eingrenzung der Netzwerkschicht 80
3.3.6 Verkehrstabellen 81
3.3.7 Fragen und Antworten/Ausscheidungssystem 82
3.3.8 Drei-Punkt-Messungen 85
3.3.9 Drei-Generationen-Messung 85
3.3.10 Reproduktion des Fehlers 87
3.4 Die Windows-Registry 87
3.4.1 HKLM\System\CurrentControlSet\ exportieren 87
3.4.2 Registry-Tools zum Durchforsten der *.REG 89
3.4.3 Systemsteuerung\Netzwerk: Vade retro! 90
3.5 Deutung der Ereignisse und Messdaten 91
3.5.1 Misstraue dem Kunden bzw. Anwender! 91
3.5.2 Misstraue den Fehlermeldungen der Rechner! 91
3.5.3 Wertvolle vs. wertlose Statistiken 92
3.6 Statistik in Intervallen: Snapshots 98
3.7 Trace-Bibliotheken - ein wertvolles Gut! 100
3.8 Online-Publishing im Ernstfall 101
3.9 Psychologie und Nervenstärke! 102
3.10 Vorbeugen ist besser als Bohren 103
3.11 Permanente Qualitätssicherung 104
3.11.1 Kosten 104
3.11.2 Einsparungen 105
3.11.3 Garantierte Verfügbarkeit 105
Kapitel 4 Statistik vs. Analyse 107
4.1 Frage und Antwort: Welche Messung? 108
4.2 Zweiter Anlauf 115
4.3 Dritter Anlauf und letzte Klärung 121
4.4 Das Ergebnis 122
4.4.1 Statistik vs. Analyse 122
4.4.2 "Das Netzwerk ist zu langsam" 123
4.4.3 Fazit: Wechselspiel von Statistik und Analyse 124
Kapitel 5 Switches und Mirror Ports 125
5.1 Messungen in Shared Media LANs 126
5.2 Messungen in Switched LANs 126
5.3 Half-Duplex Ports 127
5.3.1 Mirror Port 127
5.3.2 Repeater/RLV 128
5.3.3 Media Taps/Media Splitter 129
5.4 Full-Duplex Ports 129
5.4.1 Rücksetzung auf Half-Duplex 129
5.4.2 Media Taps/Media Splitter 130
5.5 Messung auf der Seite der Endgeräte 131
5.5.1 Und wieder: Shared Media LAN 131
5.5.2 Eingeschränkter Nutzen des Full-Duplex-Betriebes 132
5.6 Eingriff ins System: Gefährlich! 132
5.7 Messungen am Switch: Media Tap! 133
Kapitel 6 Notfallmessungen 135
6.1 Abgestimmtes, gemeinsames Vorgehen! 136
6.1.1 Angaben zum Störfall/Analysefragebogen 136
6.1.2 Ansprechpartner/Vorbereitungen Ihrerseits 136
6.1.3 Wie es losgeht = Warum wir wenig reden 137
6.1.4 Runder Tisch: Alle müssen da sein! 138
6.1.5 Weitere Vorgehensweisen 138
6.1.6 Der Messbericht 139
6.1.7 Reaktionszeit verkürzen = Teamarbeit! 139
6.1.8 Schnell ans Ziel gelangen! 139
6.2 Online-Fragebogen im Internet 140
Kapitel 7 Kritik der LAN-Architekturen 147
7.1 Kritik des Shared Media LAN 148
7.1.1 LAN - Last Area Network 148
7.2 Das Funktionsprinzip herkömmlicher LANs 151
7.3 SAN statt LAN bei der Datenhaltung 157
7.4 IPv6, RSVP, L3-Switching, Network Policy 158
7.4.1 QoS, Echtzeit etc. - wer erhält welche Dienstgüte? 159
7.4.2 Policy Based Networks 159
7.4.3 Netzwerkmanagement 160
7.4.4 VLANs, Netzwerk- und Projektmanagement 160
7.5 Fazit 161
Kapitel 8 Das OSI-Modell 163
8.1 Normierungen 164
8.2 Protokolle = festgelegte Verfahrensregeln 165
8.3 Die sieben Schichten 166
8.4 Layer 1: Physical 166
8.4.1 Serielle Bitübertragung 166
8.4.2 A/D-Wandler 166
8.4.3 Prüfsummen 166
8.5 Layer 2: Data Link 167
8.5.1 Layer 2a: MAC = Media Accress Control 167
8.5.2 Layer 2b: LLC = Logical Link Control 167
8.6 Layer 3: Network 168
8.6.1 Modem Sharing - Gateways - Router 168
8.6.2 Netzwerkadressen 168
8.6.3 Router Exchange Protocols 169
8.6.4 Layer 3 - verbindungslos/ungesichert 169
8.7 Layer 4: Transport 169
8.7.1 Layer 4 - verbindungsorientiert/abgesichert 170
8.7.2 Datenfluss-Steuerung 170
8.7.3 Handshake/Verbindungsaufbau und -abbau 170
8.7.4 Quick And Dirty 170
8.8 Layer 5: Session 171
8.8.1 Login/Authentisierung 171
8.8.2 Zugriffsschlüssel 171
8.9 Layer 6: Presentation 171
8.9.1 Lo/Hi - LSB/MSB - Little/Big Endian 171
8.9.2 Zeichensatztabellen 172
8.10 Layer 7: Application 172
8.11 Header, Trailer, Daten: SDU+PCI=PDU 173
Kapitel 9 Physical Layer 175
9.1 Vorbemerkung 176
9.2 Physical Coding 176
9.2.1 Bit-Codierungen im Shared Media LAN 176
9.2.2 Signal-Kodierung/binär 177
9.2.3 Signal-Kodierung/ternär 177
9.2.4 Signal-Kodierung & Kabel 177
9.2.5 Takt-Rückgewinnung/Synchronisation 177
9.2.6 Die gängigsten Binär-Kodierungen 178
9.2.7 RZ - Return to Zero 178
9.2.8 NRZ - No Return to Zero 178
9.2.9 NRZ-L - No Return to Zero/Level 179
9.2.10 NRZ-M - No Return to Zero/Mark 179
9.2.11 NRZ-S - No Return to Zero/Space 179
9.2.12 Manchester Code: Ethernet - 10 Mbps 179
9.2.13 Differential Manchester: Token Ring - 4/16 Mbps 179
9.2.14 4B/5B: FDDI - 100 Mbps 180
9.2.15 8B/6T: Fast Ethernet - 100 Mbps 181
9.2.16 8B/10B: Gigabit Ethernet - 1000 Mbps 182
9.3 Die häufigsten Fehlerquellen in der Physik 182
9.3.1 Netzeingangsstrom: Network BIAS 183
9.3.2 Phasenverschiebungen/Jitter 183
9.3.3 Abfallzeit: Fall Time 185
9.3.4 Bit-Rate: bit rate 185
9.3.5 Einwirkende Störstrahlungen 186
9.3.6 Relaisschaltungen: Token-Ring 187
9.4 Das Auffinden von Fehlern in der Physik 188
9.4.1 Kabeltester 189
9.4.2 Twisted-Pair-Verkabelungen 190
9.4.3 Koax-Kabel 192
9.4.4 Token-Ring mit IBM Typ-1 Kabel 193
9.4.5 Netzwerk-Management mit SNMP+RMON 194
9.4.6 Eingrenzungen mittels Verkehrstabellen 195
9.4.7 Der LAN-Analyzer ist unverzichtbar 199
9.4.8 Beachtung von OSI-Schicht 3/Network 200
9.4.9 Beachtung von OSI-Schicht 4/Transport 201
9.4.10 Fazit: Wozu dient ein Kabeltester? 201
9.5 8B/6T Code-Tabelle 202
Kapitel 10 MAC Layer 205
10.1 Media Access Control 206
10.1.1 Kernfunktionen von MAC 206
10.1.2 Die Zugriffsberechtigung 206
10.1.3 Das MAC-Protokoll 206
10.1.4 Die Adressierung: MAC-Adressen 208
10.2 Der Aufbau der MAC-Adressen 208
10.2.1 Manufacturer ID und Node ID 209
10.2.2 OUI = Organizationally Unique Identifier 210
10.2.3 LAA und UAA 210
10.2.4 I/G-Bit und U/G-Bit 210
10.2.5 MSB/LSB - kanonisch/non-kanonisch 212
10.2.6 Unterschiedliche Darstellung logischer Adressen 213
10.2.7 Sicherheit vor MAC-Spoofing und Hackern 215
10.2.8 MAC-Spoofing und IP-Spoofing 216
10.3 Die Sicherung: Prüfsummen 217
10.4 Varianten im Zugriffsverfahren 218
Kapitel 11 Fehler auf dem MAC-Layer 219
11.1 Doppelte MAC-Adresse(n) (LAA) 220
11.1.1 Das Szenario 220
11.1.2 Lokaler Konfigurationsfehler 220
11.1.3 Fernkonfiguration mittels RPS 221
11.1.4 Nachweis von doppelten MAC-Adressen 221
11.1.5 Behebung des Fehlers 221
11.2 Broadcast Stroms 222
11.2.1 Mögliche Ursachen von Broadcast Storms 222
11.2.2 Nachweis von Broadcast Storms 225
11.2.3 Abhilfe bei Broadcast Storms 226
11.3 Spanning Tree Bridges 226
11.3.1 Die Spanning Tree BPDU 227
11.3.2 Bridge ID/Bridge Priority 231
11.3.3 Nachweis von Spanning-Tree-Fehlern 232
11.3.4 Spanning Tree Timer 234
11.4 Die Bedeutung der Analyse auf Schicht 2-7 235
Kapitel 12 Ethernet 237
12.1 Einführung 238
12.1.1 Ethernet und Physical Layer 238
12.1.2 Der Ethernet-Frame 239
12.1.3 Ethernet - keine leichte Sache 240
12.2 Vorgehensweise 241
12.2.1 Eingrenzung von Ort und Ursache 241
12.2.2 Ort/Topologie/Protokoll 242
12.3 Physical Layer: die Ethernet-Hardware 242
12.4 Ethernet Collisions - CSMA/CD 244
12.4.1 "Carrier Lost" 246
12.4.2 "Late Collisions" 246
12.4.3 "Phantom Collisions" 248
12.4.4 "Local Collisions" vs. "Remote Collisions" 248
12.4.5 "Runts" 250
12.4.6 "CRC Error" 251
12.4.7 "Alignment Error" 251
12.4.8 "Frame Short" 253
12.4.9 "Frame Long"/"Jabber" 254
12.5 Eingrenzung physikalischer Fehler 254
12.6 Ethernet Frame-Typen 257
12.6.1 Die verschiedenen Frame-Typen 257
12.6.2 Fehler beim Frame-Typ und ihre Erkennung 265
12.7 Bridges/Switches, Spanning Tree & BPDU 266
12.7.1 Das Konzept der Transparent Bridges 266
12.7.2 Fehler: zu lange Umschaltzeiten 267
12.7.3 Fehler: falsche (= zu langsame) Ersatzwege 268
12.7.4 Filter auf BPDU 268
12.8 Ethernet Multicast Addresses 268
Kapitel 13 Token-Ring 271
13.1 Einführung 272
13.2 Das Werkzeug 274
13.3 Der Token-Ring Header 275
13.3.1 Aufbau des Token-Ring Headers 275
13.3.2 SDU+PCI=PDU 277
13.4 Das MAC-Protokoll: Funktionen und Filter 278
13.4.1 SD - Starting Delimiter 278
13.4.2 AC - Access Control 279
13.4.3 FC - Frame Control 280
13.4.4 MAC Destination/Source Address 281
13.4.5 FCS - Frame Check Sequence 281
13.4.6 ED - Ending Delimiter 282
13.4.7 FS - Frame Status 282
13.4.8 Information - LLC Data/MAC Data 285
13.4.9 MAC Frames mit MVID und SVID 285
13.4.10 Filter auf MVIDs 286
13.4.11 Neuer Adapter im Ring 289
13.4.12 DAT/Duplicate Address Test 290
13.4.13 NAUN Process/Ring Poll Process 290
13.4.14 Soft Errors/Fehlermeldungen 292
13.4.15 Isolating/Non-Isolating Soft Errors 294
13.4.16 Ring Error Monitor (REM) 296
13.4.17 Ring Purge 297
13.4.18 Beacon Process 297
13.4.19 Claim Token/Monitor Contention Process 298
13.4.20 Ring Parameter Server (RPS)/
Configuration Report Server (CRS) 299
13.5 Vorgehensweise in der Analyse 300
13.5.1 Eingrenzung von Ort und Ursache 300
13.5.2 Ort des Fehlers in der Ring-Topologie 301
13.6 Filter auf das MAC-Protokoll 302
13.6.1 Filter sind schön, aber gefährlich! 302
13.6.2 Filter auf Token-Ring Source-Routing Frames 304
13.7 Die logischen Adressen von Token-Ring 306
13.7.1 Das Prinzip der logischen Adressen 306
13.7.2 Fest vergebene logische Adressen 307
13.7.3 Funktionsadressen am Beispiel des RPS 308
13.8 Token Ring Source-Routing 309
13.8.1 "Ring Number" 309
13.8.2 Das Routing Information Field (RIF) 310
13.8.3 Wegewahl: ARB, SRB, Explorer Frame 313
13.8.4 Mehrere Wege 314
13.8.5 Konkurrierende Routing-Angaben 314
13.9 Token Ring Access Priority 316
13.9.1 Zugriffsprioritäten 316
13.9.2 Schieflage: Router und Server vs. Brücken 318
13.10 Ferndiagnose via RMON und CMOL 319
13.10.1 RMON 319
13.10.2 CMOL und OS/2 LAN Network Manager 319
13.11 Token-Ring, LLC-SNAP und Ethernet 320
13.12 Transparent vs. Source-Route Bridging 321
13.13 TokenSwitching 321
13.14 Ausblick: Der Ring lebt (noch) 322
Kapitel 14 LLC: Logical Link Control 325
14.1 LCC-Treibervarianten 326
14.1.1 LLC und NetBIOS 326
14.1.2 LLC und NetBEUI 326
14.1.3 LLC und DLC 326
14.1.4 LLC-1 (CLLS) und LLC-2 (COLS) 327
14.2 LLC auf OSI Layer 2b: Abstraction Layer 328
14.3 Der LLC-Header (PCI) 328
14.3.1 Service Access Points (SAP) 329
14.3.2 Control 330
14.4 LLC-Analyse 335
Kapitel 15 SNAP: SubNetwork Access Protocol 337
15.1 Wozu SNAP? 338
15.2 SNAP-Analyse 339
Kapitel 16 TCP/IP - Die DoD-Protokolle 341
16.1 Einführung: Was ist TCP/IP? 342
16.1.1 Sie erben "TCP, Inc." und führen es zum Erfolg 342
16.1.2 Einrichtung von "UDP" wegen des Kostendrucks 344
16.1.3 Sie expandieren und fusionieren mit der "IP, Inc." 344
16.1.4 ICMP meldet Störungen 347
16.1.5 ARP und DNS für die richtige Adresse 348
16.1.6 SNMP+RMON - Überwachung in Echtzeit 348
16.1.7 Des Rätsels Lösung 349
16.2 Die wichtigsten Protokolle der TCP/IP-Familie im Überblick 349
16.2.1 Fundstellen in der WinNT Registry 350
16.2.2 ARP - Address Resolution Protocol 350
16.2.3 IP - Internet Protocol 352
16.2.4 ICMP - Internet Control Message Protocol 354
16.2.5 TCP - Transmission Control Protocol 358
16.2.6 UDP - User Datagram Protocol 360
16.2.7 Details und weitere Protokolle 360
16.3 Vorgehensweise 361
16.4 Adress- und Namensauflösung 361
16.4.1 Betriebsphase 361
16.4.2 Die MAC-Addresse ist falsch zugewiesen (LAA) 363
16.4.3 Die IP-Addresse ist falsch zugewiesen 363
16.4.4 Die IP Subnet Mask stimmt nicht 366
16.4.5 Der NetBIOS Name stimmt nicht 368
16.4.6 Der DNS Name stimmt nicht 368
16.4.7 Die IP Address des DNS-Servers stimmt nicht 368
16.4.8 Umgekehrte Namensabfragen bleiben erfolglos 369
16.4.9 Fehler im Address Resolution Protocol (R/ARP) 369
16.5 Routing-Fehler/Default Gateway 370
16.5.1 Pakete laufen über andere Wege als vorgesehen 371
16.5.2 Pakete werden von Routern verworfen 372
16.5.3 Pakete laufen doppelt: Local Loop 373
16.5.4 Router und ICMP 375
16.6 Im Fokus des Analyzers: ICMP 375
16.6.1 ICMP: "Destination Unreachable" 376
16.6.2 ICMP: "Redirection - Gateway Address" 378
16.6.3 ICMP: "Time Exceeded - TTL Expired" 380
16.6.4 ICMP: "Time Exceeded - ReAssembly Timeout" 380
16.6.5 ICMP: "Fragmentation Needed" 381
16.6.6 ICMP: "Source Quench" 382
16.6.7 ICMP: "Echo Request/Echo Reply" 382
16.6.8 Grenzen von ICMP 384
16.7 Im Fokus des Analyzers: IP 384
16.7.1 IP: Version/Header Length 386
16.7.2 IP: Type of Service (ToS) 387
16.7.3 IP: Total Length 388
16.7.4 IP: Fragment ID 392
16.7.5 IP: Fragmentation Flags 395
16.7.6 IP: Fragment Offset 397
16.7.7 IP: Time To Live (TTL) 398
16.7.8 IP: Protocol 401
16.7.9 IP: Checksum 401
16.7.10 IP: Source/Destination Address 402
16.7.11 IP Expertendiagnose 406
16.7.12 IP und NetBIOS 408
16.8 Im Fokus des Analyzers: TCP 410
16.8.1 Das Prinzip der TCP Data Flow Control 411
16.8.2 TCP: Source/Destination Port 418
16.8.3 TCP: Sequence/Acknowledge Number 422
16.8.4 TCP: Data Offset 429
16.8.5 TCP: Flags 431
16.8.6 TCP: Window Size 435
16.8.7 TCP: Checksum 438
16.8.8 TCP: Urgent Pointer 439
16.8.9 TCP: Maximum Segment Size (Option) 439
16.8.10 TCP Expertendiagnose 440
16.9 Im Fokus des Analyzers: UDP 441
16.10 BOOTP/DHCP 443
16.10.1 BOOTP - Bootstrap Protocol 443
16.10.2 DHCP - Dynamic Host Configuration Protocol 445
16.11 SNMP/RMON 450
16.11.1 SNMP: Befehls- und Abfragesprache 450
16.11.2 SNMP-over-IPX 450
16.11.3 SNMP und CMIP 450
16.11.4 SNMP Community String "public/private" 451
16.11.5 RMON: Ferndiagnose/Verkehrsanalyse 451
16.11.6 HS-RMON 452
16.11.7 Messtechnik im Bereich von TCP/IP 452
Kapitel 17 TCP/IP - Unix /etc 453
17.1 /etc/passwd 455
17.1.1 Achtung! NFS 455
17.1.2 Achtung! UID=0 456
17.2 /etc/shadow 456
17.3 /etc/group 456
17.3.1 Achtung! NFS 457
17.4 /etc/hosts 457
17.4.1 Achtung: Local Host 458
17.5 /etc/hosts.equiv 458
17.6 /etc/networks 459
17.7 /etc/gateways 459
17.7.1 Achtung! route add 460
17.7.2 Achtung! Redundanz vs Sicherheit 460
17.8 /etc/protocols 460
17.9 /etc/services 461
17.9.1 Achtung! Nicht anfassen! 462
17.10 /etc/exports 462
17.10.1 Achtung! -anon=0 464
17.10.2 /etc/exportfs 464
17.10.3 /etc/xtab 464
17.11 /etc/ftpusers 464
Kapitel 18 TCP/IP Diagnose-Tools 465
18.1 Unix-Kommandos 466
18.1.1 arp 466
18.1.2 finger 467
18.1.3 ipconfig 467
18.1.4 lpq/lpstat 468
18.1.5 netstat 468
18.1.6 ping 469
18.1.7 route [add {..} {..} ] 470
18.1.8 snmp start stop 471
18.1.9 traceroute (WinNT: tracert) 471
18.2 TCP/IP Diagnose-Tools für Windows 472
18.2.1 Großes Netzwerkmanagement 472
18.2.2 Kleine Netzwerk-Tools 473
18.2.3 AnySpeed (PY Software, USA) 474
18.2.4 What's Up Gold (Ipswitch, USA) 477
18.3 (Freundlicher) Angriff auf eine Website 490
18.3.1 Einleitung: Nachahmung wird nicht empfohlen! 490
18.3.2 Besuch bei der Fachhochschule Emden 490
18.3.3 Schritt A: TraceRoute 490
18.3.4 Schritt B: Finger 491
18.3.5 Schritt C: Port Scan 493
18.3.6 Schritt D: SNMP Get sysInfo/sysDescr 496
18.3.7 Schritt E: SNMP Get ifPhysAddress 499
18.3.8 Schritt F: SNMP Get ifInOctets 501
18.3.9 Schritt G: DNS LookUp/weitere Betreiber des RZ 502
18.3.10 Schritt H: DNS LookUp/Mail System 502
18.3.11 Schritt I: Der Angriff auf das Mail-System 503
18.3.12 Fazit 504
18.4 Hacker-Tools 504
Kapitel 19 Troubleshooting mit TCP/IP 505
19.1 IP-Host antwortet nicht: Ping 506
19.2 IP TTL (Time To Live): TraceRoute 508
19.3 Routing-Fehler: ICMP & Expertendiagnose 514
19.4 Netzwerk langsam: Durchsatzmessung 518
19.5 IP-Pakete gehen verloren: Paketanalyse 519
19.6 Filter setzen auf IP und ARP 520
Kapitel 20 NetWare IPX, SPX, NCP 523
Kapitel 21 Windows Networking 525
21.1 NetBIOS 526
21.1.1 NetBIOS Namen 526
21.1.2 NetBIOS-Namen: 16 Zeichen vs. 32 Zeichen (CIFS) 529
21.1.3 NetBIOS Namensdienste: Broadcasts/WINS 531
21.1.4 NetBIOS Suchdienste 533
21.1.5 NetBIOS Scope ID 533
21.1.6 NetBIOS Nachrichtentypen 534
21.1.7 NetBIOS Protokollvarianten 534
21.1.8 NetBIOS-Bindungen 536
21.1.9 NetBIOS in der WinNT Registry 538
21.2 NetBEUI/NBF 539
21.3 NWLink - NetBIOS über NetWare-IPX 540
21.4 NetBT - NetBIOS over TCP/IP 542
21.5 Suchdienst/Browser 544
21.5.1 Varianten der NetBIOS Namenstabellen 545
21.5.2 Der Hauptsuchdienst/Master Browser 546
21.5.3 Je NetBIOS-Transport ein Suchdienst 548
21.5.4 Reihenfolge der Protokollbindungen zählt 548
21.5.5 Viele Suchdienst-Server/Sicherungssuchdienst 550
21.5.6 Suchdienstwahl: Wer ist Master Browser? 551
21.5.7 Namens-Datagramme via UDP Port 137 551
21.5.8 "MSBROWSE"-Datagramme an UDP Port 138 552
21.6 WINS 552
21.6.1 WINS statt Broadcasts 552
21.6.2 NetBIOS-Registration am WINS-Server 554
21.6.3 Der WINS-Server kennt alle NetBIOS-Ressourcen 554
21.6.4 Mehrere WINS-Server/Replikationen 555
21.6.5 Voraussetzungen für erfolgreichen WINS-Einsatz 556
21.6.6 Der WINS Node Type/Knoten-Typ 557
21.6.7 WINS-Registry-Einträge beim Client 559
21.6.8 Bekannte WINS-Fehler 559
21.6.9 WINS-Knoten-Typ stimmt nicht 559
21.6.10 WINS-Server mit zerstörten Tabellen 559
21.6.11 WINS und DNS: Siamesische Zwillinge 560
21.7 DHCP 560
21.7.1 DHCP-Optionen für WINS: Die sieben Todsünden 560
21.7.2 DHCP-Fehler Nr. 1: IP Endadresse = 255!? 560
21.7.3 DHCP-Fehler Nr. 2: Knoten-Typ = 0x00 561
21.7.4 DHCP-Fehler Nr. 3: Kein Standardwert 562
21.7.5 DHCP-Fehler Nr. 4: 0x44 - ja/0x046 - nein!? 562
21.7.6 DHCP-Fehler Nr. 5: Lokale WINS-Server angeben 564
21.7.7 DHCP-Fehler Nr. 6: LANs ohne WINS-Server!? 564
21.7.8 DHCP-Fehler Nr. 7: Knoten-Typ 0x08 oder 0x00!? 564
21.7.9 DHCP-Fehler Nr. 8: Server-Standort!? 564
21.8 SMB/CIFS 565
21.8.1 Client-Server-Protokoll 565
21.8.2 SMB, NFS, CIFS 566
21.8.3 Fehler im Umfeld von SMB 566
21.8.4 Fehler: Loops in Dateizugriffen 566
21.8.5 SMB/NCP - doppelter Redirector 567
21.8.6 SMB Write-Befehle mit 0 Bytes 567
21.8.7 SMB File Handle ist falsch/0xFFFF 568
21.9 WinNT Server hat lange Antwortzeiten 568
21.9.1 Speicherverwaltung bei WinNT Server 568
21.9.2 Memory-Tuning und Speed-Up 568
21.10 WinNT: Infektionen & Wilderei 569
21.10.1 PrintServer trieb WinNT in den Wahnsinn 569
21.10.2 WinNT kennt DNS-Namen und fragt sie alle ab ... 569
21.10.3 RUMBA-Zugriffe auf Non-Rumba-PC 570
21.11 Windows-Tools zur Netzwerkdiagnose 571
21.12 Registry-Analyse mit RegCheck 573
Kapitel 22 Windows-Tools 581
22.1 arp 582
22.2 browstat 583
22.3 browmon 584
22.4 finger 584
22.5 hostname 585
22.6 ipconfig 585
22.7 lpq 586
22.8 lpr 586
22.9 net 587
22.10 nbtstat 591
22.11 netstat 592
22.12 nslookup 595
22.13 ping 596
22.13.1 ping -a ~ Namensauflösung 596
22.13.2 ping -t ~ Endloslauf 596
22.13.3 ping -n ~ Begrenzte Anzahl 597
22.13.4 ping -l ~ Einstellung der Paketlänge 597
22.13.5 ping -f ~ Fragmentierungstest 598
22.13.6 ping -t ~ Hop Credit: TTL 599
22.13.7 ping -v ~ IP Type of Service (ToS) 600
22.13.8 ping -s ~ IP Option: Time Stamp 601
22.13.9 ping -r ~ IP Option: Record Route 602
22.13.10 ping -j ~ IP Option: Loose Source Route 602
22.13.11 ping -k ~ IP Option: Strict Source Route 602
22.13.12 ping -w ~ Wartezeit bis zum Pong 603
22.13.13 Ping mit Zielliste 603
22.13.14 ping mit kombinierten Parametern 604
22.14 route 604
22.15 tracert 605
Kapitel 23 Ausblick: Windows 2000 609
23.1 Domains, Domain Tree, Active Directory 610
23.2 WINS wird ersetzt durch DDNS 611
23.3 Lightweight Directory Access Protocol 611
23.4 Virtuelle Unternehmensnetze via Internet 612
23.5 Verschlüsselung (A): Kerberos 612
23.6 Verschlüsselung (B): EFS 612
23.7 PDC und BDC werden abgelöst 612
23.8 Replikationen / Partitionen 613
23.9 Vertrauensstellungen 613
23.10 Mobile Computing / Follow Me 614
23.11 IntelliMirror 614
23.12 Migration und Integration 614
23.13 Mixed Mode 615
23.14 Ausblick 615
23.15 Messtechnik und Windows 2000 616
Anhang A Die Registry von Windows NT 617
A.1 NetRules 620
A.2 User Restrictions 626
A.3 Service Provider / Name Space Provider 627
A.4 TCP/IP Service Provider (WinSock) 629
A.5 TCP/IP-Adapterparameter 632
A.6 TCP/IP WinSock - AfD 644
A.7 AppleTalk-Adapterparameter 654
A.8 Browser / Suchdienst 657
A.9 DHCP-Client 661
A.10 DHCP Server 663
A.11 DLC-Adapterparameter 667
A.12 DNS 671
A.13 DNS Zones 686
A.14 InetInfo 690
A.15 IP RIP 701
A.16 LanMan Server 709
A.17 MUP - Multiple UNC Provider 710
A.18 NBF - NetBEUI Transport Frames 711
A.19 NetBT - NetBIOS over TCP/IP 729
A.20 NetBT-Adapter-Parameter 742
A.21 NetLogon 744
A.22 NwLnkIpx - NetWare Link IPX 751
A.23 NwlnkNb - Novell NetBIOS 757
A.24 Streams 760
A.25 TCP/IP-Parameter 761
A.26 TCP/IP Persistent Routes 778
A.27 TCP/IP WinSock 779
A.28 W3SVC - WWW Servivces 781
A.29 WinSock 795
Anhang B Produktbeschreibungen der wichtigsten Software-Analyzer 797
B.1 Observer (Network Instruments) 798
B.2 Etherpeek (AG group) 804
B.3 Surveyor (Shomiti) 807
B.4 LANdecoder32 (Triticom) 810
B.5 CNA pro LAN-Fox (Chevin) 813
Stichwortverzeichnis 817
Kapitel 1 Das Werkzeug 25
1.1 Kriterien für LAN-Analysatoren 26
1.2 Grundfunktionen 27
1.2.1 Bedienbarkeit und Training 27
1.2.2 Hardware-Nähe 29
1.2.3 Promiscuous Mode 30
1.2.4 Monitoring vs. Analyse 31
1.2.5 Capturing 31
1.2.6 Filtering 33
1.2.7 Endlosaufzeichnungen 43
1.2.8 Expertendiagnose 45
1.2.9 Auto-Learning 48
1.2.10 Protocol Decoding 48
1.2.11 Zwischenfazit 52
1.3 Geräteklassen 52
1.3.1 Local Analyzer <> Remote Analyzer 53
1.3.2 Hardware-Analyzer <> Software-Analyzer 55
1.3.3 Hand-held Analyzer <> PC-Analyzer 57
1.3.4 Echtzeit-Analyzer <> Nicht-Echtzeit-Analyzer 57
1.3.5 Online-Analyzer <> Offline-Analyzer 58
1.3.6 Dual-Port Analyzer <> Single-Port Analyzer 58
1.3.7 External Analyzer <> Internal Analyzer 58
1.3.8 Active Analyzer <> Passive Analyzer 59
1.4 Fazit 60
Kapitel 2 Hersteller und Produkte 61
2.1 Analyse: Software-Produkte 62
2.1.1 AG Group: EtherPeek/TokenPeek 62
2.1.2 Chevin: CNA Pro/LAN Fox 62
2.1.3 Cinco: NetXRay 62
2.1.4 GN Nettest: InterWatch/Win Pharaoh 63
2.1.5 Hewlett-Packard: Internet Advisor 63
2.1.6 Ipswitch: What's Up Gold 63
2.1.7 LMC: CINeMa 63
2.1.8 NAI/Network Associates, Inc.: Sniffer 64
2.1.9 NDG Software: EtherBoy/PacketBoy 64
2.1.10 Net3Group: NetSense/ProConvert 64
2.1.11 Network Instruments: (Distributed) Observer 64
2.1.12 Novell: LANalyzer for Windows/ManageWise 65
2.1.13 Precision Guesswork: LANwatch32 65
2.1.14 RADcom: RC-88 - RC-100 65
2.1.15 RzK: NetQ&A - NetControl 65
2.1.16 Shomiti: Surveyor/Century Tap 66
2.1.17 Triticom: LANdecoder32 66
2.1.18 Wavetek Wandel Goltermann: Domino 66
2.2 Analyse: Hardware-Produkte 67
2.2.1 Fluke: OneTouch - LAN Meter 67
2.2.2 Microtest: Omni/Penta/Micro Scanner 67
2.3 Shareware/Freeware 67
2.3.1 4Net 67
2.3.2 Any Speed 67
2.3.3 Big Brother 68
2.3.4 Free Wizard 68
2.3.5 IDyle GimmIP 68
2.3.6 Internet Anywhere Toolkit 68
2.3.7 Internet Maniac 68
2.3.8 IP Network Browser 68
2.3.9 IP Sentry 69
2.3.10 IP Subnet Calculator 69
2.3.11 NeoTrace 69
2.3.12 NetCat 69
2.3.13 NetoScope 69
2.3.14 Netscan Tools 69
2.3.15 Ping Plotter 70
2.3.16 PortFlash 70
2.3.17 Recon-1 lite 70
2.3.18 Remote Logout 70
2.3.19 Remotely Possible 70
2.3.20 Servers Alive? 70
2.3.21 Sniff It 71
2.3.22 Subnet Wiz 71
2.3.23 Visual Route 71
Kapitel 3 Grundlagen der Methodik 73
3.1 Eingrenzung von Maschine, Schicht, Ort 74
3.2 Die klassischen Netzwerkfehler 75
3.3 Erste Schritte 76
3.3.1 Interner oder externer Techniker? 77
3.3.2 Dokumentation - ja oder nein? 77
3.3.3 Der erste, schnelle Überblick 78
3.3.4 Eingrenzung des Ortes 79
3.3.5 Eingrenzung der Netzwerkschicht 80
3.3.6 Verkehrstabellen 81
3.3.7 Fragen und Antworten/Ausscheidungssystem 82
3.3.8 Drei-Punkt-Messungen 85
3.3.9 Drei-Generationen-Messung 85
3.3.10 Reproduktion des Fehlers 87
3.4 Die Windows-Registry 87
3.4.1 HKLM\System\CurrentControlSet\ exportieren 87
3.4.2 Registry-Tools zum Durchforsten der *.REG 89
3.4.3 Systemsteuerung\Netzwerk: Vade retro! 90
3.5 Deutung der Ereignisse und Messdaten 91
3.5.1 Misstraue dem Kunden bzw. Anwender! 91
3.5.2 Misstraue den Fehlermeldungen der Rechner! 91
3.5.3 Wertvolle vs. wertlose Statistiken 92
3.6 Statistik in Intervallen: Snapshots 98
3.7 Trace-Bibliotheken - ein wertvolles Gut! 100
3.8 Online-Publishing im Ernstfall 101
3.9 Psychologie und Nervenstärke! 102
3.10 Vorbeugen ist besser als Bohren 103
3.11 Permanente Qualitätssicherung 104
3.11.1 Kosten 104
3.11.2 Einsparungen 105
3.11.3 Garantierte Verfügbarkeit 105
Kapitel 4 Statistik vs. Analyse 107
4.1 Frage und Antwort: Welche Messung? 108
4.2 Zweiter Anlauf 115
4.3 Dritter Anlauf und letzte Klärung 121
4.4 Das Ergebnis 122
4.4.1 Statistik vs. Analyse 122
4.4.2 "Das Netzwerk ist zu langsam" 123
4.4.3 Fazit: Wechselspiel von Statistik und Analyse 124
Kapitel 5 Switches und Mirror Ports 125
5.1 Messungen in Shared Media LANs 126
5.2 Messungen in Switched LANs 126
5.3 Half-Duplex Ports 127
5.3.1 Mirror Port 127
5.3.2 Repeater/RLV 128
5.3.3 Media Taps/Media Splitter 129
5.4 Full-Duplex Ports 129
5.4.1 Rücksetzung auf Half-Duplex 129
5.4.2 Media Taps/Media Splitter 130
5.5 Messung auf der Seite der Endgeräte 131
5.5.1 Und wieder: Shared Media LAN 131
5.5.2 Eingeschränkter Nutzen des Full-Duplex-Betriebes 132
5.6 Eingriff ins System: Gefährlich! 132
5.7 Messungen am Switch: Media Tap! 133
Kapitel 6 Notfallmessungen 135
6.1 Abgestimmtes, gemeinsames Vorgehen! 136
6.1.1 Angaben zum Störfall/Analysefragebogen 136
6.1.2 Ansprechpartner/Vorbereitungen Ihrerseits 136
6.1.3 Wie es losgeht = Warum wir wenig reden 137
6.1.4 Runder Tisch: Alle müssen da sein! 138
6.1.5 Weitere Vorgehensweisen 138
6.1.6 Der Messbericht 139
6.1.7 Reaktionszeit verkürzen = Teamarbeit! 139
6.1.8 Schnell ans Ziel gelangen! 139
6.2 Online-Fragebogen im Internet 140
Kapitel 7 Kritik der LAN-Architekturen 147
7.1 Kritik des Shared Media LAN 148
7.1.1 LAN - Last Area Network 148
7.2 Das Funktionsprinzip herkömmlicher LANs 151
7.3 SAN statt LAN bei der Datenhaltung 157
7.4 IPv6, RSVP, L3-Switching, Network Policy 158
7.4.1 QoS, Echtzeit etc. - wer erhält welche Dienstgüte? 159
7.4.2 Policy Based Networks 159
7.4.3 Netzwerkmanagement 160
7.4.4 VLANs, Netzwerk- und Projektmanagement 160
7.5 Fazit 161
Kapitel 8 Das OSI-Modell 163
8.1 Normierungen 164
8.2 Protokolle = festgelegte Verfahrensregeln 165
8.3 Die sieben Schichten 166
8.4 Layer 1: Physical 166
8.4.1 Serielle Bitübertragung 166
8.4.2 A/D-Wandler 166
8.4.3 Prüfsummen 166
8.5 Layer 2: Data Link 167
8.5.1 Layer 2a: MAC = Media Accress Control 167
8.5.2 Layer 2b: LLC = Logical Link Control 167
8.6 Layer 3: Network 168
8.6.1 Modem Sharing - Gateways - Router 168
8.6.2 Netzwerkadressen 168
8.6.3 Router Exchange Protocols 169
8.6.4 Layer 3 - verbindungslos/ungesichert 169
8.7 Layer 4: Transport 169
8.7.1 Layer 4 - verbindungsorientiert/abgesichert 170
8.7.2 Datenfluss-Steuerung 170
8.7.3 Handshake/Verbindungsaufbau und -abbau 170
8.7.4 Quick And Dirty 170
8.8 Layer 5: Session 171
8.8.1 Login/Authentisierung 171
8.8.2 Zugriffsschlüssel 171
8.9 Layer 6: Presentation 171
8.9.1 Lo/Hi - LSB/MSB - Little/Big Endian 171
8.9.2 Zeichensatztabellen 172
8.10 Layer 7: Application 172
8.11 Header, Trailer, Daten: SDU+PCI=PDU 173
Kapitel 9 Physical Layer 175
9.1 Vorbemerkung 176
9.2 Physical Coding 176
9.2.1 Bit-Codierungen im Shared Media LAN 176
9.2.2 Signal-Kodierung/binär 177
9.2.3 Signal-Kodierung/ternär 177
9.2.4 Signal-Kodierung & Kabel 177
9.2.5 Takt-Rückgewinnung/Synchronisation 177
9.2.6 Die gängigsten Binär-Kodierungen 178
9.2.7 RZ - Return to Zero 178
9.2.8 NRZ - No Return to Zero 178
9.2.9 NRZ-L - No Return to Zero/Level 179
9.2.10 NRZ-M - No Return to Zero/Mark 179
9.2.11 NRZ-S - No Return to Zero/Space 179
9.2.12 Manchester Code: Ethernet - 10 Mbps 179
9.2.13 Differential Manchester: Token Ring - 4/16 Mbps 179
9.2.14 4B/5B: FDDI - 100 Mbps 180
9.2.15 8B/6T: Fast Ethernet - 100 Mbps 181
9.2.16 8B/10B: Gigabit Ethernet - 1000 Mbps 182
9.3 Die häufigsten Fehlerquellen in der Physik 182
9.3.1 Netzeingangsstrom: Network BIAS 183
9.3.2 Phasenverschiebungen/Jitter 183
9.3.3 Abfallzeit: Fall Time 185
9.3.4 Bit-Rate: bit rate 185
9.3.5 Einwirkende Störstrahlungen 186
9.3.6 Relaisschaltungen: Token-Ring 187
9.4 Das Auffinden von Fehlern in der Physik 188
9.4.1 Kabeltester 189
9.4.2 Twisted-Pair-Verkabelungen 190
9.4.3 Koax-Kabel 192
9.4.4 Token-Ring mit IBM Typ-1 Kabel 193
9.4.5 Netzwerk-Management mit SNMP+RMON 194
9.4.6 Eingrenzungen mittels Verkehrstabellen 195
9.4.7 Der LAN-Analyzer ist unverzichtbar 199
9.4.8 Beachtung von OSI-Schicht 3/Network 200
9.4.9 Beachtung von OSI-Schicht 4/Transport 201
9.4.10 Fazit: Wozu dient ein Kabeltester? 201
9.5 8B/6T Code-Tabelle 202
Kapitel 10 MAC Layer 205
10.1 Media Access Control 206
10.1.1 Kernfunktionen von MAC 206
10.1.2 Die Zugriffsberechtigung 206
10.1.3 Das MAC-Protokoll 206
10.1.4 Die Adressierung: MAC-Adressen 208
10.2 Der Aufbau der MAC-Adressen 208
10.2.1 Manufacturer ID und Node ID 209
10.2.2 OUI = Organizationally Unique Identifier 210
10.2.3 LAA und UAA 210
10.2.4 I/G-Bit und U/G-Bit 210
10.2.5 MSB/LSB - kanonisch/non-kanonisch 212
10.2.6 Unterschiedliche Darstellung logischer Adressen 213
10.2.7 Sicherheit vor MAC-Spoofing und Hackern 215
10.2.8 MAC-Spoofing und IP-Spoofing 216
10.3 Die Sicherung: Prüfsummen 217
10.4 Varianten im Zugriffsverfahren 218
Kapitel 11 Fehler auf dem MAC-Layer 219
11.1 Doppelte MAC-Adresse(n) (LAA) 220
11.1.1 Das Szenario 220
11.1.2 Lokaler Konfigurationsfehler 220
11.1.3 Fernkonfiguration mittels RPS 221
11.1.4 Nachweis von doppelten MAC-Adressen 221
11.1.5 Behebung des Fehlers 221
11.2 Broadcast Stroms 222
11.2.1 Mögliche Ursachen von Broadcast Storms 222
11.2.2 Nachweis von Broadcast Storms 225
11.2.3 Abhilfe bei Broadcast Storms 226
11.3 Spanning Tree Bridges 226
11.3.1 Die Spanning Tree BPDU 227
11.3.2 Bridge ID/Bridge Priority 231
11.3.3 Nachweis von Spanning-Tree-Fehlern 232
11.3.4 Spanning Tree Timer 234
11.4 Die Bedeutung der Analyse auf Schicht 2-7 235
Kapitel 12 Ethernet 237
12.1 Einführung 238
12.1.1 Ethernet und Physical Layer 238
12.1.2 Der Ethernet-Frame 239
12.1.3 Ethernet - keine leichte Sache 240
12.2 Vorgehensweise 241
12.2.1 Eingrenzung von Ort und Ursache 241
12.2.2 Ort/Topologie/Protokoll 242
12.3 Physical Layer: die Ethernet-Hardware 242
12.4 Ethernet Collisions - CSMA/CD 244
12.4.1 "Carrier Lost" 246
12.4.2 "Late Collisions" 246
12.4.3 "Phantom Collisions" 248
12.4.4 "Local Collisions" vs. "Remote Collisions" 248
12.4.5 "Runts" 250
12.4.6 "CRC Error" 251
12.4.7 "Alignment Error" 251
12.4.8 "Frame Short" 253
12.4.9 "Frame Long"/"Jabber" 254
12.5 Eingrenzung physikalischer Fehler 254
12.6 Ethernet Frame-Typen 257
12.6.1 Die verschiedenen Frame-Typen 257
12.6.2 Fehler beim Frame-Typ und ihre Erkennung 265
12.7 Bridges/Switches, Spanning Tree & BPDU 266
12.7.1 Das Konzept der Transparent Bridges 266
12.7.2 Fehler: zu lange Umschaltzeiten 267
12.7.3 Fehler: falsche (= zu langsame) Ersatzwege 268
12.7.4 Filter auf BPDU 268
12.8 Ethernet Multicast Addresses 268
Kapitel 13 Token-Ring 271
13.1 Einführung 272
13.2 Das Werkzeug 274
13.3 Der Token-Ring Header 275
13.3.1 Aufbau des Token-Ring Headers 275
13.3.2 SDU+PCI=PDU 277
13.4 Das MAC-Protokoll: Funktionen und Filter 278
13.4.1 SD - Starting Delimiter 278
13.4.2 AC - Access Control 279
13.4.3 FC - Frame Control 280
13.4.4 MAC Destination/Source Address 281
13.4.5 FCS - Frame Check Sequence 281
13.4.6 ED - Ending Delimiter 282
13.4.7 FS - Frame Status 282
13.4.8 Information - LLC Data/MAC Data 285
13.4.9 MAC Frames mit MVID und SVID 285
13.4.10 Filter auf MVIDs 286
13.4.11 Neuer Adapter im Ring 289
13.4.12 DAT/Duplicate Address Test 290
13.4.13 NAUN Process/Ring Poll Process 290
13.4.14 Soft Errors/Fehlermeldungen 292
13.4.15 Isolating/Non-Isolating Soft Errors 294
13.4.16 Ring Error Monitor (REM) 296
13.4.17 Ring Purge 297
13.4.18 Beacon Process 297
13.4.19 Claim Token/Monitor Contention Process 298
13.4.20 Ring Parameter Server (RPS)/
Configuration Report Server (CRS) 299
13.5 Vorgehensweise in der Analyse 300
13.5.1 Eingrenzung von Ort und Ursache 300
13.5.2 Ort des Fehlers in der Ring-Topologie 301
13.6 Filter auf das MAC-Protokoll 302
13.6.1 Filter sind schön, aber gefährlich! 302
13.6.2 Filter auf Token-Ring Source-Routing Frames 304
13.7 Die logischen Adressen von Token-Ring 306
13.7.1 Das Prinzip der logischen Adressen 306
13.7.2 Fest vergebene logische Adressen 307
13.7.3 Funktionsadressen am Beispiel des RPS 308
13.8 Token Ring Source-Routing 309
13.8.1 "Ring Number" 309
13.8.2 Das Routing Information Field (RIF) 310
13.8.3 Wegewahl: ARB, SRB, Explorer Frame 313
13.8.4 Mehrere Wege 314
13.8.5 Konkurrierende Routing-Angaben 314
13.9 Token Ring Access Priority 316
13.9.1 Zugriffsprioritäten 316
13.9.2 Schieflage: Router und Server vs. Brücken 318
13.10 Ferndiagnose via RMON und CMOL 319
13.10.1 RMON 319
13.10.2 CMOL und OS/2 LAN Network Manager 319
13.11 Token-Ring, LLC-SNAP und Ethernet 320
13.12 Transparent vs. Source-Route Bridging 321
13.13 TokenSwitching 321
13.14 Ausblick: Der Ring lebt (noch) 322
Kapitel 14 LLC: Logical Link Control 325
14.1 LCC-Treibervarianten 326
14.1.1 LLC und NetBIOS 326
14.1.2 LLC und NetBEUI 326
14.1.3 LLC und DLC 326
14.1.4 LLC-1 (CLLS) und LLC-2 (COLS) 327
14.2 LLC auf OSI Layer 2b: Abstraction Layer 328
14.3 Der LLC-Header (PCI) 328
14.3.1 Service Access Points (SAP) 329
14.3.2 Control 330
14.4 LLC-Analyse 335
Kapitel 15 SNAP: SubNetwork Access Protocol 337
15.1 Wozu SNAP? 338
15.2 SNAP-Analyse 339
Kapitel 16 TCP/IP - Die DoD-Protokolle 341
16.1 Einführung: Was ist TCP/IP? 342
16.1.1 Sie erben "TCP, Inc." und führen es zum Erfolg 342
16.1.2 Einrichtung von "UDP" wegen des Kostendrucks 344
16.1.3 Sie expandieren und fusionieren mit der "IP, Inc." 344
16.1.4 ICMP meldet Störungen 347
16.1.5 ARP und DNS für die richtige Adresse 348
16.1.6 SNMP+RMON - Überwachung in Echtzeit 348
16.1.7 Des Rätsels Lösung 349
16.2 Die wichtigsten Protokolle der TCP/IP-Familie im Überblick 349
16.2.1 Fundstellen in der WinNT Registry 350
16.2.2 ARP - Address Resolution Protocol 350
16.2.3 IP - Internet Protocol 352
16.2.4 ICMP - Internet Control Message Protocol 354
16.2.5 TCP - Transmission Control Protocol 358
16.2.6 UDP - User Datagram Protocol 360
16.2.7 Details und weitere Protokolle 360
16.3 Vorgehensweise 361
16.4 Adress- und Namensauflösung 361
16.4.1 Betriebsphase 361
16.4.2 Die MAC-Addresse ist falsch zugewiesen (LAA) 363
16.4.3 Die IP-Addresse ist falsch zugewiesen 363
16.4.4 Die IP Subnet Mask stimmt nicht 366
16.4.5 Der NetBIOS Name stimmt nicht 368
16.4.6 Der DNS Name stimmt nicht 368
16.4.7 Die IP Address des DNS-Servers stimmt nicht 368
16.4.8 Umgekehrte Namensabfragen bleiben erfolglos 369
16.4.9 Fehler im Address Resolution Protocol (R/ARP) 369
16.5 Routing-Fehler/Default Gateway 370
16.5.1 Pakete laufen über andere Wege als vorgesehen 371
16.5.2 Pakete werden von Routern verworfen 372
16.5.3 Pakete laufen doppelt: Local Loop 373
16.5.4 Router und ICMP 375
16.6 Im Fokus des Analyzers: ICMP 375
16.6.1 ICMP: "Destination Unreachable" 376
16.6.2 ICMP: "Redirection - Gateway Address" 378
16.6.3 ICMP: "Time Exceeded - TTL Expired" 380
16.6.4 ICMP: "Time Exceeded - ReAssembly Timeout" 380
16.6.5 ICMP: "Fragmentation Needed" 381
16.6.6 ICMP: "Source Quench" 382
16.6.7 ICMP: "Echo Request/Echo Reply" 382
16.6.8 Grenzen von ICMP 384
16.7 Im Fokus des Analyzers: IP 384
16.7.1 IP: Version/Header Length 386
16.7.2 IP: Type of Service (ToS) 387
16.7.3 IP: Total Length 388
16.7.4 IP: Fragment ID 392
16.7.5 IP: Fragmentation Flags 395
16.7.6 IP: Fragment Offset 397
16.7.7 IP: Time To Live (TTL) 398
16.7.8 IP: Protocol 401
16.7.9 IP: Checksum 401
16.7.10 IP: Source/Destination Address 402
16.7.11 IP Expertendiagnose 406
16.7.12 IP und NetBIOS 408
16.8 Im Fokus des Analyzers: TCP 410
16.8.1 Das Prinzip der TCP Data Flow Control 411
16.8.2 TCP: Source/Destination Port 418
16.8.3 TCP: Sequence/Acknowledge Number 422
16.8.4 TCP: Data Offset 429
16.8.5 TCP: Flags 431
16.8.6 TCP: Window Size 435
16.8.7 TCP: Checksum 438
16.8.8 TCP: Urgent Pointer 439
16.8.9 TCP: Maximum Segment Size (Option) 439
16.8.10 TCP Expertendiagnose 440
16.9 Im Fokus des Analyzers: UDP 441
16.10 BOOTP/DHCP 443
16.10.1 BOOTP - Bootstrap Protocol 443
16.10.2 DHCP - Dynamic Host Configuration Protocol 445
16.11 SNMP/RMON 450
16.11.1 SNMP: Befehls- und Abfragesprache 450
16.11.2 SNMP-over-IPX 450
16.11.3 SNMP und CMIP 450
16.11.4 SNMP Community String "public/private" 451
16.11.5 RMON: Ferndiagnose/Verkehrsanalyse 451
16.11.6 HS-RMON 452
16.11.7 Messtechnik im Bereich von TCP/IP 452
Kapitel 17 TCP/IP - Unix /etc 453
17.1 /etc/passwd 455
17.1.1 Achtung! NFS 455
17.1.2 Achtung! UID=0 456
17.2 /etc/shadow 456
17.3 /etc/group 456
17.3.1 Achtung! NFS 457
17.4 /etc/hosts 457
17.4.1 Achtung: Local Host 458
17.5 /etc/hosts.equiv 458
17.6 /etc/networks 459
17.7 /etc/gateways 459
17.7.1 Achtung! route add 460
17.7.2 Achtung! Redundanz vs Sicherheit 460
17.8 /etc/protocols 460
17.9 /etc/services 461
17.9.1 Achtung! Nicht anfassen! 462
17.10 /etc/exports 462
17.10.1 Achtung! -anon=0 464
17.10.2 /etc/exportfs 464
17.10.3 /etc/xtab 464
17.11 /etc/ftpusers 464
Kapitel 18 TCP/IP Diagnose-Tools 465
18.1 Unix-Kommandos 466
18.1.1 arp 466
18.1.2 finger 467
18.1.3 ipconfig 467
18.1.4 lpq/lpstat 468
18.1.5 netstat 468
18.1.6 ping 469
18.1.7 route [add {..} {..} ] 470
18.1.8 snmp start stop 471
18.1.9 traceroute (WinNT: tracert) 471
18.2 TCP/IP Diagnose-Tools für Windows 472
18.2.1 Großes Netzwerkmanagement 472
18.2.2 Kleine Netzwerk-Tools 473
18.2.3 AnySpeed (PY Software, USA) 474
18.2.4 What's Up Gold (Ipswitch, USA) 477
18.3 (Freundlicher) Angriff auf eine Website 490
18.3.1 Einleitung: Nachahmung wird nicht empfohlen! 490
18.3.2 Besuch bei der Fachhochschule Emden 490
18.3.3 Schritt A: TraceRoute 490
18.3.4 Schritt B: Finger 491
18.3.5 Schritt C: Port Scan 493
18.3.6 Schritt D: SNMP Get sysInfo/sysDescr 496
18.3.7 Schritt E: SNMP Get ifPhysAddress 499
18.3.8 Schritt F: SNMP Get ifInOctets 501
18.3.9 Schritt G: DNS LookUp/weitere Betreiber des RZ 502
18.3.10 Schritt H: DNS LookUp/Mail System 502
18.3.11 Schritt I: Der Angriff auf das Mail-System 503
18.3.12 Fazit 504
18.4 Hacker-Tools 504
Kapitel 19 Troubleshooting mit TCP/IP 505
19.1 IP-Host antwortet nicht: Ping 506
19.2 IP TTL (Time To Live): TraceRoute 508
19.3 Routing-Fehler: ICMP & Expertendiagnose 514
19.4 Netzwerk langsam: Durchsatzmessung 518
19.5 IP-Pakete gehen verloren: Paketanalyse 519
19.6 Filter setzen auf IP und ARP 520
Kapitel 20 NetWare IPX, SPX, NCP 523
Kapitel 21 Windows Networking 525
21.1 NetBIOS 526
21.1.1 NetBIOS Namen 526
21.1.2 NetBIOS-Namen: 16 Zeichen vs. 32 Zeichen (CIFS) 529
21.1.3 NetBIOS Namensdienste: Broadcasts/WINS 531
21.1.4 NetBIOS Suchdienste 533
21.1.5 NetBIOS Scope ID 533
21.1.6 NetBIOS Nachrichtentypen 534
21.1.7 NetBIOS Protokollvarianten 534
21.1.8 NetBIOS-Bindungen 536
21.1.9 NetBIOS in der WinNT Registry 538
21.2 NetBEUI/NBF 539
21.3 NWLink - NetBIOS über NetWare-IPX 540
21.4 NetBT - NetBIOS over TCP/IP 542
21.5 Suchdienst/Browser 544
21.5.1 Varianten der NetBIOS Namenstabellen 545
21.5.2 Der Hauptsuchdienst/Master Browser 546
21.5.3 Je NetBIOS-Transport ein Suchdienst 548
21.5.4 Reihenfolge der Protokollbindungen zählt 548
21.5.5 Viele Suchdienst-Server/Sicherungssuchdienst 550
21.5.6 Suchdienstwahl: Wer ist Master Browser? 551
21.5.7 Namens-Datagramme via UDP Port 137 551
21.5.8 "MSBROWSE"-Datagramme an UDP Port 138 552
21.6 WINS 552
21.6.1 WINS statt Broadcasts 552
21.6.2 NetBIOS-Registration am WINS-Server 554
21.6.3 Der WINS-Server kennt alle NetBIOS-Ressourcen 554
21.6.4 Mehrere WINS-Server/Replikationen 555
21.6.5 Voraussetzungen für erfolgreichen WINS-Einsatz 556
21.6.6 Der WINS Node Type/Knoten-Typ 557
21.6.7 WINS-Registry-Einträge beim Client 559
21.6.8 Bekannte WINS-Fehler 559
21.6.9 WINS-Knoten-Typ stimmt nicht 559
21.6.10 WINS-Server mit zerstörten Tabellen 559
21.6.11 WINS und DNS: Siamesische Zwillinge 560
21.7 DHCP 560
21.7.1 DHCP-Optionen für WINS: Die sieben Todsünden 560
21.7.2 DHCP-Fehler Nr. 1: IP Endadresse = 255!? 560
21.7.3 DHCP-Fehler Nr. 2: Knoten-Typ = 0x00 561
21.7.4 DHCP-Fehler Nr. 3: Kein Standardwert 562
21.7.5 DHCP-Fehler Nr. 4: 0x44 - ja/0x046 - nein!? 562
21.7.6 DHCP-Fehler Nr. 5: Lokale WINS-Server angeben 564
21.7.7 DHCP-Fehler Nr. 6: LANs ohne WINS-Server!? 564
21.7.8 DHCP-Fehler Nr. 7: Knoten-Typ 0x08 oder 0x00!? 564
21.7.9 DHCP-Fehler Nr. 8: Server-Standort!? 564
21.8 SMB/CIFS 565
21.8.1 Client-Server-Protokoll 565
21.8.2 SMB, NFS, CIFS 566
21.8.3 Fehler im Umfeld von SMB 566
21.8.4 Fehler: Loops in Dateizugriffen 566
21.8.5 SMB/NCP - doppelter Redirector 567
21.8.6 SMB Write-Befehle mit 0 Bytes 567
21.8.7 SMB File Handle ist falsch/0xFFFF 568
21.9 WinNT Server hat lange Antwortzeiten 568
21.9.1 Speicherverwaltung bei WinNT Server 568
21.9.2 Memory-Tuning und Speed-Up 568
21.10 WinNT: Infektionen & Wilderei 569
21.10.1 PrintServer trieb WinNT in den Wahnsinn 569
21.10.2 WinNT kennt DNS-Namen und fragt sie alle ab ... 569
21.10.3 RUMBA-Zugriffe auf Non-Rumba-PC 570
21.11 Windows-Tools zur Netzwerkdiagnose 571
21.12 Registry-Analyse mit RegCheck 573
Kapitel 22 Windows-Tools 581
22.1 arp 582
22.2 browstat 583
22.3 browmon 584
22.4 finger 584
22.5 hostname 585
22.6 ipconfig 585
22.7 lpq 586
22.8 lpr 586
22.9 net 587
22.10 nbtstat 591
22.11 netstat 592
22.12 nslookup 595
22.13 ping 596
22.13.1 ping -a ~ Namensauflösung 596
22.13.2 ping -t ~ Endloslauf 596
22.13.3 ping -n ~ Begrenzte Anzahl 597
22.13.4 ping -l ~ Einstellung der Paketlänge 597
22.13.5 ping -f ~ Fragmentierungstest 598
22.13.6 ping -t ~ Hop Credit: TTL 599
22.13.7 ping -v ~ IP Type of Service (ToS) 600
22.13.8 ping -s ~ IP Option: Time Stamp 601
22.13.9 ping -r ~ IP Option: Record Route 602
22.13.10 ping -j ~ IP Option: Loose Source Route 602
22.13.11 ping -k ~ IP Option: Strict Source Route 602
22.13.12 ping -w ~ Wartezeit bis zum Pong 603
22.13.13 Ping mit Zielliste 603
22.13.14 ping mit kombinierten Parametern 604
22.14 route 604
22.15 tracert 605
Kapitel 23 Ausblick: Windows 2000 609
23.1 Domains, Domain Tree, Active Directory 610
23.2 WINS wird ersetzt durch DDNS 611
23.3 Lightweight Directory Access Protocol 611
23.4 Virtuelle Unternehmensnetze via Internet 612
23.5 Verschlüsselung (A): Kerberos 612
23.6 Verschlüsselung (B): EFS 612
23.7 PDC und BDC werden abgelöst 612
23.8 Replikationen / Partitionen 613
23.9 Vertrauensstellungen 613
23.10 Mobile Computing / Follow Me 614
23.11 IntelliMirror 614
23.12 Migration und Integration 614
23.13 Mixed Mode 615
23.14 Ausblick 615
23.15 Messtechnik und Windows 2000 616
Anhang A Die Registry von Windows NT 617
A.1 NetRules 620
A.2 User Restrictions 626
A.3 Service Provider / Name Space Provider 627
A.4 TCP/IP Service Provider (WinSock) 629
A.5 TCP/IP-Adapterparameter 632
A.6 TCP/IP WinSock - AfD 644
A.7 AppleTalk-Adapterparameter 654
A.8 Browser / Suchdienst 657
A.9 DHCP-Client 661
A.10 DHCP Server 663
A.11 DLC-Adapterparameter 667
A.12 DNS 671
A.13 DNS Zones 686
A.14 InetInfo 690
A.15 IP RIP 701
A.16 LanMan Server 709
A.17 MUP - Multiple UNC Provider 710
A.18 NBF - NetBEUI Transport Frames 711
A.19 NetBT - NetBIOS over TCP/IP 729
A.20 NetBT-Adapter-Parameter 742
A.21 NetLogon 744
A.22 NwLnkIpx - NetWare Link IPX 751
A.23 NwlnkNb - Novell NetBIOS 757
A.24 Streams 760
A.25 TCP/IP-Parameter 761
A.26 TCP/IP Persistent Routes 778
A.27 TCP/IP WinSock 779
A.28 W3SVC - WWW Servivces 781
A.29 WinSock 795
Anhang B Produktbeschreibungen der wichtigsten Software-Analyzer 797
B.1 Observer (Network Instruments) 798
B.2 Etherpeek (AG group) 804
B.3 Surveyor (Shomiti) 807
B.4 LANdecoder32 (Triticom) 810
B.5 CNA pro LAN-Fox (Chevin) 813
Stichwortverzeichnis 817
Vorwort 23
Kapitel 1 Das Werkzeug 25
1.1 Kriterien für LAN-Analysatoren 26
1.2 Grundfunktionen 27
1.2.1 Bedienbarkeit und Training 27
1.2.2 Hardware-Nähe 29
1.2.3 Promiscuous Mode 30
1.2.4 Monitoring vs. Analyse 31
1.2.5 Capturing 31
1.2.6 Filtering 33
1.2.7 Endlosaufzeichnungen 43
1.2.8 Expertendiagnose 45
1.2.9 Auto-Learning 48
1.2.10 Protocol Decoding 48
1.2.11 Zwischenfazit 52
1.3 Geräteklassen 52
1.3.1 Local Analyzer <> Remote Analyzer 53
1.3.2 Hardware-Analyzer <> Software-Analyzer 55
1.3.3 Hand-held Analyzer <> PC-Analyzer 57
1.3.4 Echtzeit-Analyzer <> Nicht-Echtzeit-Analyzer 57
1.3.5 Online-Analyzer <> Offline-Analyzer 58
1.3.6 Dual-Port Analyzer <> Single-Port Analyzer 58
1.3.7 External Analyzer <> Internal Analyzer 58
1.3.8 Active Analyzer <> Passive Analyzer 59
1.4 Fazit 60
Kapitel 2 Hersteller und Produkte 61
2.1 Analyse: Software-Produkte 62
2.1.1 AG Group: EtherPeek/TokenPeek 62
2.1.2 Chevin: CNA Pro/LAN Fox 62
2.1.3 Cinco: NetXRay 62
2.1.4 GN Nettest: InterWatch/Win Pharaoh 63
2.1.5 Hewlett-Packard: Internet Advisor 63
2.1.6 Ipswitch: What's Up Gold 63
2.1.7 LMC: CINeMa 63
2.1.8 NAI/Network Associates, Inc.: Sniffer 64
2.1.9 NDG Software: EtherBoy/PacketBoy 64
2.1.10 Net3Group: NetSense/ProConvert 64
2.1.11 Network Instruments: (Distributed) Observer 64
2.1.12 Novell: LANalyzer for Windows/ManageWise 65
2.1.13 Precision Guesswork: LANwatch32 65
2.1.14 RADcom: RC-88 - RC-100 65
2.1.15 RzK: NetQ&A - NetControl 65
2.1.16 Shomiti: Surveyor/Century Tap 66
2.1.17 Triticom: LANdecoder32 66
2.1.18 Wavetek Wandel Goltermann: Domino 66
2.2 Analyse: Hardware-Produkte 67
2.2.1 Fluke: OneTouch - LAN Meter 67
2.2.2 Microtest: Omni/Penta/Micro Scanner 67
2.3 Shareware/Freeware 67
2.3.1 4Net 67
2.3.2 Any Speed 67
2.3.3 Big Brother 68
2.3.4 Free Wizard 68
2.3.5 IDyle GimmIP 68
2.3.6 Internet Anywhere Toolkit 68
2.3.7 Internet Maniac 68
2.3.8 IP Network Browser 68
2.3.9 IP Sentry 69
2.3.10 IP Subnet Calculator 69
2.3.11 NeoTrace 69
2.3.12 NetCat 69
2.3.13 NetoScope 69
2.3.14 Netscan Tools 69
2.3.15 Ping Plotter 70
2.3.16 PortFlash 70
2.3.17 Recon-1 lite 70
2.3.18 Remote Logout 70
2.3.19 Remotely Possible 70
2.3.20 Servers Alive? 70
2.3.21 Sniff It 71
2.3.22 Subnet Wiz 71
2.3.23 Visual Route 71
Kapitel 3 Grundlagen der Methodik 73
3.1 Eingrenzung von Maschine, Schicht, Ort 74
3.2 Die klassischen Netzwerkfehler 75
3.3 Erste Schritte 76
3.3.1 Interner oder externer Techniker? 77
3.3.2 Dokumentation - ja oder nein? 77
3.3.3 Der erste, schnelle Überblick 78
3.3.4 Eingrenzung des Ortes 79
3.3.5 Eingrenzung der Netzwerkschicht 80
3.3.6 Verkehrstabellen 81
3.3.7 Fragen und Antworten/Ausscheidungssystem 82
3.3.8 Drei-Punkt-Messungen 85
3.3.9 Drei-Generationen-Messung 85
3.3.10 Reproduktion des Fehlers 87
3.4 Die Windows-Registry 87
3.4.1 HKLM\System\CurrentControlSet\ exportieren 87
3.4.2 Registry-Tools zum Durchforsten der *.REG 89
3.4.3 Systemsteuerung\Netzwerk: Vade retro! 90
3.5 Deutung der Ereignisse und Messdaten 91
3.5.1 Misstraue dem Kunden bzw. Anwender! 91
3.5.2 Misstraue den Fehlermeldungen der Rechner! 91
3.5.3 Wertvolle vs. wertlose Statistiken 92
3.6 Statistik in Intervallen: Snapshots 98
3.7 Trace-Bibliotheken - ein wertvolles Gut! 100
3.8 Online-Publishing im Ernstfall 101
3.9 Psychologie und Nervenstärke! 102
3.10 Vorbeugen ist besser als Bohren 103
3.11 Permanente Qualitätssicherung 104
3.11.1 Kosten 104
3.11.2 Einsparungen 105
3.11.3 Garantierte Verfügbarkeit 105
Kapitel 4 Statistik vs. Analyse 107
4.1 Frage und Antwort: Welche Messung? 108
4.2 Zweiter Anlauf 115
4.3 Dritter Anlauf und letzte Klärung 121
4.4 Das Ergebnis 122
4.4.1 Statistik vs. Analyse 122
4.4.2 "Das Netzwerk ist zu langsam" 123
4.4.3 Fazit: Wechselspiel von Statistik und Analyse 124
Kapitel 5 Switches und Mirror Ports 125
5.1 Messungen in Shared Media LANs 126
5.2 Messungen in Switched LANs 126
5.3 Half-Duplex Ports 127
5.3.1 Mirror Port 127
5.3.2 Repeater/RLV 128
5.3.3 Media Taps/Media Splitter 129
5.4 Full-Duplex Ports 129
5.4.1 Rücksetzung auf Half-Duplex 129
5.4.2 Media Taps/Media Splitter 130
5.5 Messung auf der Seite der Endgeräte 131
5.5.1 Und wieder: Shared Media LAN 131
5.5.2 Eingeschränkter Nutzen des Full-Duplex-Betriebes 132
5.6 Eingriff ins System: Gefährlich! 132
5.7 Messungen am Switch: Media Tap! 133
Kapitel 6 Notfallmessungen 135
6.1 Abgestimmtes, gemeinsames Vorgehen! 136
6.1.1 Angaben zum Störfall/Analysefragebogen 136
6.1.2 Ansprechpartner/Vorbereitungen Ihrerseits 136
6.1.3 Wie es losgeht = Warum wir wenig reden 137
6.1.4 Runder Tisch: Alle müssen da sein! 138
6.1.5 Weitere Vorgehensweisen 138
6.1.6 Der Messbericht 139
6.1.7 Reaktionszeit verkürzen = Teamarbeit! 139
6.1.8 Schnell ans Ziel gelangen! 139
6.2 Online-Fragebogen im Internet 140
Kapitel 7 Kritik der LAN-Architekturen 147
7.1 Kritik des Shared Media LAN 148
7.1.1 LAN - Last Area Network 148
7.2 Das Funktionsprinzip herkömmlicher LANs 151
7.3 SAN statt LAN bei der Datenhaltung 157
7.4 IPv6, RSVP, L3-Switching, Network Policy 158
7.4.1 QoS, Echtzeit etc. - wer erhält welche Dienstgüte? 159
7.4.2 Policy Based Networks 159
7.4.3 Netzwerkmanagement 160
7.4.4 VLANs, Netzwerk- und Projektmanagement 160
7.5 Fazit 161
Kapitel 8 Das OSI-Modell 163
8.1 Normierungen 164
8.2 Protokolle = festgelegte Verfahrensregeln 165
8.3 Die sieben Schichten 166
8.4 Layer 1: Physical 166
8.4.1 Serielle Bitübertragung 166
8.4.2 A/D-Wandler 166
8.4.3 Prüfsummen 166
8.5 Layer 2: Data Link 167
8.5.1 Layer 2a: MAC = Media Accress Control 167
8.5.2 Layer 2b: LLC = Logical Link Control 167
8.6 Layer 3: Network 168
8.6.1 Modem Sharing - Gateways - Router 168
8.6.2 Netzwerkadressen 168
8.6.3 Router Exchange Protocols 169
8.6.4 Layer 3 - verbindungslos/ungesichert 169
8.7 Layer 4: Transport 169
8.7.1 Layer 4 - verbindungsorientiert/abgesichert 170
8.7.2 Datenfluss-Steuerung 170
8.7.3 Handshake/Verbindungsaufbau und -abbau 170
8.7.4 Quick And Dirty 170
8.8 Layer 5: Session 171
8.8.1 Login/Authentisierung 171
8.8.2 Zugriffsschlüssel 171
8.9 Layer 6: Presentation 171
8.9.1 Lo/Hi - LSB/MSB - Little/Big Endian 171
8.9.2 Zeichensatztabellen 172
8.10 Layer 7: Application 172
8.11 Header, Trailer, Daten: SDU+PCI=PDU 173
Kapitel 9 Physical Layer 175
9.1 Vorbemerkung 176
9.2 Physical Coding 176
9.2.1 Bit-Codierungen im Shared Media LAN 176
9.2.2 Signal-Kodierung/binär 177
9.2.3 Signal-Kodierung/ternär 177
9.2.4 Signal-Kodierung & Kabel 177
9.2.5 Takt-Rückgewinnung/Synchronisation 177
9.2.6 Die gängigsten Binär-Kodierungen 178
9.2.7 RZ - Return to Zero 178
9.2.8 NRZ - No Return to Zero 178
9.2.9 NRZ-L - No Return to Zero/Level 179
9.2.10 NRZ-M - No Return to Zero/Mark 179
9.2.11 NRZ-S - No Return to Zero/Space 179
9.2.12 Manchester Code: Ethernet - 10 Mbps 179
9.2.13 Differential Manchester: Token Ring - 4/16 Mbps 179
9.2.14 4B/5B: FDDI - 100 Mbps 180
9.2.15 8B/6T: Fast Ethernet - 100 Mbps 181
9.2.16 8B/10B: Gigabit Ethernet - 1000 Mbps 182
9.3 Die häufigsten Fehlerquellen in der Physik 182
9.3.1 Netzeingangsstrom: Network BIAS 183
9.3.2 Phasenverschiebungen/Jitter 183
9.3.3 Abfallzeit: Fall Time 185
9.3.4 Bit-Rate: bit rate 185
9.3.5 Einwirkende Störstrahlungen 186
9.3.6 Relaisschaltungen: Token-Ring 187
9.4 Das Auffinden von Fehlern in der Physik 188
9.4.1 Kabeltester 189
9.4.2 Twisted-Pair-Verkabelungen 190
9.4.3 Koax-Kabel 192
9.4.4 Token-Ring mit IBM Typ-1 Kabel 193
9.4.5 Netzwerk-Management mit SNMP+RMON 194
9.4.6 Eingrenzungen mittels Verkehrstabellen 195
9.4.7 Der LAN-Analyzer ist unverzichtbar 199
9.4.8 Beachtung von OSI-Schicht 3/Network 200
9.4.9 Beachtung von OSI-Schicht 4/Transport 201
9.4.10 Fazit: Wozu dient ein Kabeltester? 201
9.5 8B/6T Code-Tabelle 202
Kapitel 10 MAC Layer 205
10.1 Media Access Control 206
10.1.1 Kernfunktionen von MAC 206
10.1.2 Die Zugriffsberechtigung 206
10.1.3 Das MAC-Protokoll 206
10.1.4 Die Adressierung: MAC-Adressen 208
10.2 Der Aufbau der MAC-Adressen 208
10.2.1 Manufacturer ID und Node ID 209
10.2.2 OUI = Organizationally Unique Identifier 210
10.2.3 LAA und UAA 210
10.2.4 I/G-Bit und U/G-Bit 210
10.2.5 MSB/LSB - kanonisch/non-kanonisch 212
10.2.6 Unterschiedliche Darstellung logischer Adressen 213
10.2.7 Sicherheit vor MAC-Spoofing und Hackern 215
10.2.8 MAC-Spoofing und IP-Spoofing 216
10.3 Die Sicherung: Prüfsummen 217
10.4 Varianten im Zugriffsverfahren 218
Kapitel 11 Fehler auf dem MAC-Layer 219
11.1 Doppelte MAC-Adresse(n) (LAA) 220
11.1.1 Das Szenario 220
11.1.2 Lokaler Konfigurationsfehler 220
11.1.3 Fernkonfiguration mittels RPS 221
11.1.4 Nachweis von doppelten MAC-Adressen 221
11.1.5 Behebung des Fehlers 221
11.2 Broadcast Stroms 222
11.2.1 Mögliche Ursachen von Broadcast Storms 222
11.2.2 Nachweis von Broadcast Storms 225
11.2.3 Abhilfe bei Broadcast Storms 226
11.3 Spanning Tree Bridges 226
11.3.1 Die Spanning Tree BPDU 227
11.3.2 Bridge ID/Bridge Priority 231
11.3.3 Nachweis von Spanning-Tree-Fehlern 232
11.3.4 Spanning Tree Timer 234
11.4 Die Bedeutung der Analyse auf Schicht 2-7 235
Kapitel 12 Ethernet 237
12.1 Einführung 238
12.1.1 Ethernet und Physical Layer 238
12.1.2 Der Ethernet-Frame 239
12.1.3 Ethernet - keine leichte Sache 240
12.2 Vorgehensweise 241
12.2.1 Eingrenzung von Ort und Ursache 241
12.2.2 Ort/Topologie/Protokoll 242
12.3 Physical Layer: die Ethernet-Hardware 242
12.4 Ethernet Collisions - CSMA/CD 244
12.4.1 "Carrier Lost" 246
12.4.2 "Late Collisions" 246
12.4.3 "Phantom Collisions" 248
12.4.4 "Local Collisions" vs. "Remote Collisions" 248
12.4.5 "Runts" 250
12.4.6 "CRC Error" 251
12.4.7 "Alignment Error" 251
12.4.8 "Frame Short" 253
12.4.9 "Frame Long"/"Jabber" 254
12.5 Eingrenzung physikalischer Fehler 254
12.6 Ethernet Frame-Typen 257
12.6.1 Die verschiedenen Frame-Typen 257
12.6.2 Fehler beim Frame-Typ und ihre Erkennung 265
12.7 Bridges/Switches, Spanning Tree & BPDU 266
12.7.1 Das Konzept der Transparent Bridges 266
12.7.2 Fehler: zu lange Umschaltzeiten 267
12.7.3 Fehler: falsche (= zu langsame) Ersatzwege 268
12.7.4 Filter auf BPDU 268
12.8 Ethernet Multicast Addresses 268
Kapitel 13 Token-Ring 271
13.1 Einführung 272
13.2 Das Werkzeug 274
13.3 Der Token-Ring Header 275
13.3.1 Aufbau des Token-Ring Headers 275
13.3.2 SDU+PCI=PDU 277
13.4 Das MAC-Protokoll: Funktionen und Filter 278
13.4.1 SD - Starting Delimiter 278
13.4.2 AC - Access Control 279
13.4.3 FC - Frame Control 280
13.4.4 MAC Destination/Source Address 281
13.4.5 FCS - Frame Check Sequence 281
13.4.6 ED - Ending Delimiter 282
13.4.7 FS - Frame Status 282
13.4.8 Information - LLC Data/MAC Data 285
13.4.9 MAC Frames mit MVID und SVID 285
13.4.10 Filter auf MVIDs 286
13.4.11 Neuer Adapter im Ring 289
13.4.12 DAT/Duplicate Address Test 290
13.4.13 NAUN Process/Ring Poll Process 290
13.4.14 Soft Errors/Fehlermeldungen 292
13.4.15 Isolating/Non-Isolating Soft Errors 294
13.4.16 Ring Error Monitor (REM) 296
13.4.17 Ring Purge 297
13.4.18 Beacon Process 297
13.4.19 Claim Token/Monitor Contention Process 298
13.4.20 Ring Parameter Server (RPS)/
Configuration Report Server (CRS) 299
13.5 Vorgehensweise in der Analyse 300
13.5.1 Eingrenzung von Ort und Ursache 300
13.5.2 Ort des Fehlers in der Ring-Topologie 301
13.6 Filter auf das MAC-Protokoll 302
13.6.1 Filter sind schön, aber gefährlich! 302
13.6.2 Filter auf Token-Ring Source-Routing Frames 304
13.7 Die logischen Adressen von Token-Ring 306
13.7.1 Das Prinzip der logischen Adressen 306
13.7.2 Fest vergebene logische Adressen 307
13.7.3 Funktionsadressen am Beispiel des RPS 308
13.8 Token Ring Source-Routing 309
13.8.1 "Ring Number" 309
13.8.2 Das Routing Information Field (RIF) 310
13.8.3 Wegewahl: ARB, SRB, Explorer Frame 313
13.8.4 Mehrere Wege 314
13.8.5 Konkurrierende Routing-Angaben 314
13.9 Token Ring Access Priority 316
13.9.1 Zugriffsprioritäten 316
13.9.2 Schieflage: Router und Server vs. Brücken 318
13.10 Ferndiagnose via RMON und CMOL 319
13.10.1 RMON 319
13.10.2 CMOL und OS/2 LAN Network Manager 319
13.11 Token-Ring, LLC-SNAP und Ethernet 320
13.12 Transparent vs. Source-Route Bridging 321
13.13 TokenSwitching 321
13.14 Ausblick: Der Ring lebt (noch) 322
Kapitel 14 LLC: Logical Link Control 325
14.1 LCC-Treibervarianten 326
14.1.1 LLC und NetBIOS 326
14.1.2 LLC und NetBEUI 326
14.1.3 LLC und DLC 326
14.1.4 LLC-1 (CLLS) und LLC-2 (COLS) 327
14.2 LLC auf OSI Layer 2b: Abstraction Layer 328
14.3 Der LLC-Header (PCI) 328
14.3.1 Service Access Points (SAP) 329
14.3.2 Control 330
14.4 LLC-Analyse 335
Kapitel 15 SNAP: SubNetwork Access Protocol 337
15.1 Wozu SNAP? 338
15.2 SNAP-Analyse 339
Kapitel 16 TCP/IP - Die DoD-Protokolle 341
16.1 Einführung: Was ist TCP/IP? 342
16.1.1 Sie erben "TCP, Inc." und führen es zum Erfolg 342
16.1.2 Einrichtung von "UDP" wegen des Kostendrucks 344
16.1.3 Sie expandieren und fusionieren mit der "IP, Inc." 344
16.1.4 ICMP meldet Störungen 347
16.1.5 ARP und DNS für die richtige Adresse 348
16.1.6 SNMP+RMON - Überwachung in Echtzeit 348
16.1.7 Des Rätsels Lösung 349
16.2 Die wichtigsten Protokolle der TCP/IP-Familie im Überblick 349
16.2.1 Fundstellen in der WinNT Registry 350
16.2.2 ARP - Address Resolution Protocol 350
16.2.3 IP - Internet Protocol 352
16.2.4 ICMP - Internet Control Message Protocol 354
16.2.5 TCP - Transmission Control Protocol 358
16.2.6 UDP - User Datagram Protocol 360
16.2.7 Details und weitere Protokolle 360
16.3 Vorgehensweise 361
16.4 Adress- und Namensauflösung 361
16.4.1 Betriebsphase 361
16.4.2 Die MAC-Addresse ist falsch zugewiesen (LAA) 363
16.4.3 Die IP-Addresse ist falsch zugewiesen 363
16.4.4 Die IP Subnet Mask stimmt nicht 366
16.4.5 Der NetBIOS Name stimmt nicht 368
16.4.6 Der DNS Name stimmt nicht 368
16.4.7 Die IP Address des DNS-Servers stimmt nicht 368
16.4.8 Umgekehrte Namensabfragen bleiben erfolglos 369
16.4.9 Fehler im Address Resolution Protocol (R/ARP) 369
16.5 Routing-Fehler/Default Gateway 370
16.5.1 Pakete laufen über andere Wege als vorgesehen 371
16.5.2 Pakete werden von Routern verworfen 372
16.5.3 Pakete laufen doppelt: Local Loop 373
16.5.4 Router und ICMP 375
16.6 Im Fokus des Analyzers: ICMP 375
16.6.1 ICMP: "Destination Unreachable" 376
16.6.2 ICMP: "Redirection - Gateway Address" 378
16.6.3 ICMP: "Time Exceeded - TTL Expired" 380
16.6.4 ICMP: "Time Exceeded - ReAssembly Timeout" 380
16.6.5 ICMP: "Fragmentation Needed" 381
16.6.6 ICMP: "Source Quench" 382
16.6.7 ICMP: "Echo Request/Echo Reply" 382
16.6.8 Grenzen von ICMP 384
16.7 Im Fokus des Analyzers: IP 384
16.7.1 IP: Version/Header Length 386
16.7.2 IP: Type of Service (ToS) 387
16.7.3 IP: Total Length 388
16.7.4 IP: Fragment ID 392
16.7.5 IP: Fragmentation Flags 395
16.7.6 IP: Fragment Offset 397
16.7.7 IP: Time To Live (TTL) 398
16.7.8 IP: Protocol 401
16.7.9 IP: Checksum 401
16.7.10 IP: Source/Destination Address 402
16.7.11 IP Expertendiagnose 406
16.7.12 IP und NetBIOS 408
16.8 Im Fokus des Analyzers: TCP 410
16.8.1 Das Prinzip der TCP Data Flow Control 411
16.8.2 TCP: Source/Destination Port 418
16.8.3 TCP: Sequence/Acknowledge Number 422
16.8.4 TCP: Data Offset 429
16.8.5 TCP: Flags 431
16.8.6 TCP: Window Size 435
16.8.7 TCP: Checksum 438
16.8.8 TCP: Urgent Pointer 439
16.8.9 TCP: Maximum Segment Size (Option) 439
16.8.10 TCP Expertendiagnose 440
16.9 Im Fokus des Analyzers: UDP 441
16.10 BOOTP/DHCP 443
16.10.1 BOOTP - Bootstrap Protocol 443
16.10.2 DHCP - Dynamic Host Configuration Protocol 445
16.11 SNMP/RMON 450
16.11.1 SNMP: Befehls- und Abfragesprache 450
16.11.2 SNMP-over-IPX 450
16.11.3 SNMP und CMIP 450
16.11.4 SNMP Community String "public/private" 451
16.11.5 RMON: Ferndiagnose/Verkehrsanalyse 451
16.11.6 HS-RMON 452
16.11.7 Messtechnik im Bereich von TCP/IP 452
Kapitel 17 TCP/IP - Unix /etc 453
17.1 /etc/passwd 455
17.1.1 Achtung! NFS 455
17.1.2 Achtung! UID=0 456
17.2 /etc/shadow 456
17.3 /etc/group 456
17.3.1 Achtung! NFS 457
17.4 /etc/hosts 457
17.4.1 Achtung: Local Host 458
17.5 /etc/hosts.equiv 458
17.6 /etc/networks 459
17.7 /etc/gateways 459
17.7.1 Achtung! route add 460
17.7.2 Achtung! Redundanz vs Sicherheit 460
17.8 /etc/protocols 460
17.9 /etc/services 461
17.9.1 Achtung! Nicht anfassen! 462
17.10 /etc/exports 462
17.10.1 Achtung! -anon=0 464
17.10.2 /etc/exportfs 464
17.10.3 /etc/xtab 464
17.11 /etc/ftpusers 464
Kapitel 18 TCP/IP Diagnose-Tools 465
18.1 Unix-Kommandos 466
18.1.1 arp 466
18.1.2 finger 467
18.1.3 ipconfig 467
18.1.4 lpq/lpstat 468
18.1.5 netstat 468
18.1.6 ping 469
18.1.7 route [add {..} {..} ] 470
18.1.8 snmp start stop 471
18.1.9 traceroute (WinNT: tracert) 471
18.2 TCP/IP Diagnose-Tools für Windows 472
18.2.1 Großes Netzwerkmanagement 472
18.2.2 Kleine Netzwerk-Tools 473
18.2.3 AnySpeed (PY Software, USA) 474
18.2.4 What's Up Gold (Ipswitch, USA) 477
18.3 (Freundlicher) Angriff auf eine Website 490
18.3.1 Einleitung: Nachahmung wird nicht empfohlen! 490
18.3.2 Besuch bei der Fachhochschule Emden 490
18.3.3 Schritt A: TraceRoute 490
18.3.4 Schritt B: Finger 491
18.3.5 Schritt C: Port Scan 493
18.3.6 Schritt D: SNMP Get sysInfo/sysDescr 496
18.3.7 Schritt E: SNMP Get ifPhysAddress 499
18.3.8 Schritt F: SNMP Get ifInOctets 501
18.3.9 Schritt G: DNS LookUp/weitere Betreiber des RZ 502
18.3.10 Schritt H: DNS LookUp/Mail System 502
18.3.11 Schritt I: Der Angriff auf das Mail-System 503
18.3.12 Fazit 504
18.4 Hacker-Tools 504
Kapitel 19 Troubleshooting mit TCP/IP 505
19.1 IP-Host antwortet nicht: Ping 506
19.2 IP TTL (Time To Live): TraceRoute 508
19.3 Routing-Fehler: ICMP & Expertendiagnose 514
19.4 Netzwerk langsam: Durchsatzmessung 518
19.5 IP-Pakete gehen verloren: Paketanalyse 519
19.6 Filter setzen auf IP und ARP 520
Kapitel 20 NetWare IPX, SPX, NCP 523
Kapitel 21 Windows Networking 525
21.1 NetBIOS 526
21.1.1 NetBIOS Namen 526
21.1.2 NetBIOS-Namen: 16 Zeichen vs. 32 Zeichen (CIFS) 529
21.1.3 NetBIOS Namensdienste: Broadcasts/WINS 531
21.1.4 NetBIOS Suchdienste 533
21.1.5 NetBIOS Scope ID 533
21.1.6 NetBIOS Nachrichtentypen 534
21.1.7 NetBIOS Protokollvarianten 534
21.1.8 NetBIOS-Bindungen 536
21.1.9 NetBIOS in der WinNT Registry 538
21.2 NetBEUI/NBF 539
21.3 NWLink - NetBIOS über NetWare-IPX 540
21.4 NetBT - NetBIOS over TCP/IP 542
21.5 Suchdienst/Browser 544
21.5.1 Varianten der NetBIOS Namenstabellen 545
21.5.2 Der Hauptsuchdienst/Master Browser 546
21.5.3 Je NetBIOS-Transport ein Suchdienst 548
21.5.4 Reihenfolge der Protokollbindungen zählt 548
21.5.5 Viele Suchdienst-Server/Sicherungssuchdienst 550
21.5.6 Suchdienstwahl: Wer ist Master Browser? 551
21.5.7 Namens-Datagramme via UDP Port 137 551
21.5.8 "MSBROWSE"-Datagramme an UDP Port 138 552
21.6 WINS 552
21.6.1 WINS statt Broadcasts 552
21.6.2 NetBIOS-Registration am WINS-Server 554
21.6.3 Der WINS-Server kennt alle NetBIOS-Ressourcen 554
21.6.4 Mehrere WINS-Server/Replikationen 555
21.6.5 Voraussetzungen für erfolgreichen WINS-Einsatz 556
21.6.6 Der WINS Node Type/Knoten-Typ 557
21.6.7 WINS-Registry-Einträge beim Client 559
21.6.8 Bekannte WINS-Fehler 559
21.6.9 WINS-Knoten-Typ stimmt nicht 559
21.6.10 WINS-Server mit zerstörten Tabellen 559
21.6.11 WINS und DNS: Siamesische Zwillinge 560
21.7 DHCP 560
21.7.1 DHCP-Optionen für WINS: Die sieben Todsünden 560
21.7.2 DHCP-Fehler Nr. 1: IP Endadresse = 255!? 560
21.7.3 DHCP-Fehler Nr. 2: Knoten-Typ = 0x00 561
21.7.4 DHCP-Fehler Nr. 3: Kein Standardwert 562
21.7.5 DHCP-Fehler Nr. 4: 0x44 - ja/0x046 - nein!? 562
21.7.6 DHCP-Fehler Nr. 5: Lokale WINS-Server angeben 564
21.7.7 DHCP-Fehler Nr. 6: LANs ohne WINS-Server!? 564
21.7.8 DHCP-Fehler Nr. 7: Knoten-Typ 0x08 oder 0x00!? 564
21.7.9 DHCP-Fehler Nr. 8: Server-Standort!? 564
21.8 SMB/CIFS 565
21.8.1 Client-Server-Protokoll 565
21.8.2 SMB, NFS, CIFS 566
21.8.3 Fehler im Umfeld von SMB 566
21.8.4 Fehler: Loops in Dateizugriffen 566
21.8.5 SMB/NCP - doppelter Redirector 567
21.8.6 SMB Write-Befehle mit 0 Bytes 567
21.8.7 SMB File Handle ist falsch/0xFFFF 568
21.9 WinNT Server hat lange Antwortzeiten 568
21.9.1 Speicherverwaltung bei WinNT Server 568
21.9.2 Memory-Tuning und Speed-Up 568
21.10 WinNT: Infektionen & Wilderei 569
21.10.1 PrintServer trieb WinNT in den Wahnsinn 569
21.10.2 WinNT kennt DNS-Namen und fragt sie alle ab ... 569
21.10.3 RUMBA-Zugriffe auf Non-Rumba-PC 570
21.11 Windows-Tools zur Netzwerkdiagnose 571
21.12 Registry-Analyse mit RegCheck 573
Kapitel 22 Windows-Tools 581
22.1 arp 582
22.2 browstat 583
22.3 browmon 584
22.4 finger 584
22.5 hostname 585
22.6 ipconfig 585
22.7 lpq 586
22.8 lpr 586
22.9 net 587
22.10 nbtstat 591
22.11 netstat 592
22.12 nslookup 595
22.13 ping 596
22.13.1 ping -a ~ Namensauflösung 596
22.13.2 ping -t ~ Endloslauf 596
22.13.3 ping -n ~ Begrenzte Anzahl 597
22.13.4 ping -l ~ Einstellung der Paketlänge 597
22.13.5 ping -f ~ Fragmentierungstest 598
22.13.6 ping -t ~ Hop Credit: TTL 599
22.13.7 ping -v ~ IP Type of Service (ToS) 600
22.13.8 ping -s ~ IP Option: Time Stamp 601
22.13.9 ping -r ~ IP Option: Record Route 602
22.13.10 ping -j ~ IP Option: Loose Source Route 602
22.13.11 ping -k ~ IP Option: Strict Source Route 602
22.13.12 ping -w ~ Wartezeit bis zum Pong 603
22.13.13 Ping mit Zielliste 603
22.13.14 ping mit kombinierten Parametern 604
22.14 route 604
22.15 tracert 605
Kapitel 23 Ausblick: Windows 2000 609
23.1 Domains, Domain Tree, Active Directory 610
23.2 WINS wird ersetzt durch DDNS 611
23.3 Lightweight Directory Access Protocol 611
23.4 Virtuelle Unternehmensnetze via Internet 612
23.5 Verschlüsselung (A): Kerberos 612
23.6 Verschlüsselung (B): EFS 612
23.7 PDC und BDC werden abgelöst 612
23.8 Replikationen / Partitionen 613
23.9 Vertrauensstellungen 613
23.10 Mobile Computing / Follow Me 614
23.11 IntelliMirror 614
23.12 Migration und Integration 614
23.13 Mixed Mode 615
23.14 Ausblick 615
23.15 Messtechnik und Windows 2000 616
Anhang A Die Registry von Windows NT 617
A.1 NetRules 620
A.2 User Restrictions 626
A.3 Service Provider / Name Space Provider 627
A.4 TCP/IP Service Provider (WinSock) 629
A.5 TCP/IP-Adapterparameter 632
A.6 TCP/IP WinSock - AfD 644
A.7 AppleTalk-Adapterparameter 654
A.8 Browser / Suchdienst 657
A.9 DHCP-Client 661
A.10 DHCP Server 663
A.11 DLC-Adapterparameter 667
A.12 DNS 671
A.13 DNS Zones 686
A.14 InetInfo 690
A.15 IP RIP 701
A.16 LanMan Server 709
A.17 MUP - Multiple UNC Provider 710
A.18 NBF - NetBEUI Transport Frames 711
A.19 NetBT - NetBIOS over TCP/IP 729
A.20 NetBT-Adapter-Parameter 742
A.21 NetLogon 744
A.22 NwLnkIpx - NetWare Link IPX 751
A.23 NwlnkNb - Novell NetBIOS 757
A.24 Streams 760
A.25 TCP/IP-Parameter 761
A.26 TCP/IP Persistent Routes 778
A.27 TCP/IP WinSock 779
A.28 W3SVC - WWW Servivces 781
A.29 WinSock 795
Anhang B Produktbeschreibungen der wichtigsten Software-Analyzer 797
B.1 Observer (Network Instruments) 798
B.2 Etherpeek (AG group) 804
B.3 Surveyor (Shomiti) 807
B.4 LANdecoder32 (Triticom) 810
B.5 CNA pro LAN-Fox (Chevin) 813
Stichwortverzeichnis 817
Kapitel 1 Das Werkzeug 25
1.1 Kriterien für LAN-Analysatoren 26
1.2 Grundfunktionen 27
1.2.1 Bedienbarkeit und Training 27
1.2.2 Hardware-Nähe 29
1.2.3 Promiscuous Mode 30
1.2.4 Monitoring vs. Analyse 31
1.2.5 Capturing 31
1.2.6 Filtering 33
1.2.7 Endlosaufzeichnungen 43
1.2.8 Expertendiagnose 45
1.2.9 Auto-Learning 48
1.2.10 Protocol Decoding 48
1.2.11 Zwischenfazit 52
1.3 Geräteklassen 52
1.3.1 Local Analyzer <> Remote Analyzer 53
1.3.2 Hardware-Analyzer <> Software-Analyzer 55
1.3.3 Hand-held Analyzer <> PC-Analyzer 57
1.3.4 Echtzeit-Analyzer <> Nicht-Echtzeit-Analyzer 57
1.3.5 Online-Analyzer <> Offline-Analyzer 58
1.3.6 Dual-Port Analyzer <> Single-Port Analyzer 58
1.3.7 External Analyzer <> Internal Analyzer 58
1.3.8 Active Analyzer <> Passive Analyzer 59
1.4 Fazit 60
Kapitel 2 Hersteller und Produkte 61
2.1 Analyse: Software-Produkte 62
2.1.1 AG Group: EtherPeek/TokenPeek 62
2.1.2 Chevin: CNA Pro/LAN Fox 62
2.1.3 Cinco: NetXRay 62
2.1.4 GN Nettest: InterWatch/Win Pharaoh 63
2.1.5 Hewlett-Packard: Internet Advisor 63
2.1.6 Ipswitch: What's Up Gold 63
2.1.7 LMC: CINeMa 63
2.1.8 NAI/Network Associates, Inc.: Sniffer 64
2.1.9 NDG Software: EtherBoy/PacketBoy 64
2.1.10 Net3Group: NetSense/ProConvert 64
2.1.11 Network Instruments: (Distributed) Observer 64
2.1.12 Novell: LANalyzer for Windows/ManageWise 65
2.1.13 Precision Guesswork: LANwatch32 65
2.1.14 RADcom: RC-88 - RC-100 65
2.1.15 RzK: NetQ&A - NetControl 65
2.1.16 Shomiti: Surveyor/Century Tap 66
2.1.17 Triticom: LANdecoder32 66
2.1.18 Wavetek Wandel Goltermann: Domino 66
2.2 Analyse: Hardware-Produkte 67
2.2.1 Fluke: OneTouch - LAN Meter 67
2.2.2 Microtest: Omni/Penta/Micro Scanner 67
2.3 Shareware/Freeware 67
2.3.1 4Net 67
2.3.2 Any Speed 67
2.3.3 Big Brother 68
2.3.4 Free Wizard 68
2.3.5 IDyle GimmIP 68
2.3.6 Internet Anywhere Toolkit 68
2.3.7 Internet Maniac 68
2.3.8 IP Network Browser 68
2.3.9 IP Sentry 69
2.3.10 IP Subnet Calculator 69
2.3.11 NeoTrace 69
2.3.12 NetCat 69
2.3.13 NetoScope 69
2.3.14 Netscan Tools 69
2.3.15 Ping Plotter 70
2.3.16 PortFlash 70
2.3.17 Recon-1 lite 70
2.3.18 Remote Logout 70
2.3.19 Remotely Possible 70
2.3.20 Servers Alive? 70
2.3.21 Sniff It 71
2.3.22 Subnet Wiz 71
2.3.23 Visual Route 71
Kapitel 3 Grundlagen der Methodik 73
3.1 Eingrenzung von Maschine, Schicht, Ort 74
3.2 Die klassischen Netzwerkfehler 75
3.3 Erste Schritte 76
3.3.1 Interner oder externer Techniker? 77
3.3.2 Dokumentation - ja oder nein? 77
3.3.3 Der erste, schnelle Überblick 78
3.3.4 Eingrenzung des Ortes 79
3.3.5 Eingrenzung der Netzwerkschicht 80
3.3.6 Verkehrstabellen 81
3.3.7 Fragen und Antworten/Ausscheidungssystem 82
3.3.8 Drei-Punkt-Messungen 85
3.3.9 Drei-Generationen-Messung 85
3.3.10 Reproduktion des Fehlers 87
3.4 Die Windows-Registry 87
3.4.1 HKLM\System\CurrentControlSet\ exportieren 87
3.4.2 Registry-Tools zum Durchforsten der *.REG 89
3.4.3 Systemsteuerung\Netzwerk: Vade retro! 90
3.5 Deutung der Ereignisse und Messdaten 91
3.5.1 Misstraue dem Kunden bzw. Anwender! 91
3.5.2 Misstraue den Fehlermeldungen der Rechner! 91
3.5.3 Wertvolle vs. wertlose Statistiken 92
3.6 Statistik in Intervallen: Snapshots 98
3.7 Trace-Bibliotheken - ein wertvolles Gut! 100
3.8 Online-Publishing im Ernstfall 101
3.9 Psychologie und Nervenstärke! 102
3.10 Vorbeugen ist besser als Bohren 103
3.11 Permanente Qualitätssicherung 104
3.11.1 Kosten 104
3.11.2 Einsparungen 105
3.11.3 Garantierte Verfügbarkeit 105
Kapitel 4 Statistik vs. Analyse 107
4.1 Frage und Antwort: Welche Messung? 108
4.2 Zweiter Anlauf 115
4.3 Dritter Anlauf und letzte Klärung 121
4.4 Das Ergebnis 122
4.4.1 Statistik vs. Analyse 122
4.4.2 "Das Netzwerk ist zu langsam" 123
4.4.3 Fazit: Wechselspiel von Statistik und Analyse 124
Kapitel 5 Switches und Mirror Ports 125
5.1 Messungen in Shared Media LANs 126
5.2 Messungen in Switched LANs 126
5.3 Half-Duplex Ports 127
5.3.1 Mirror Port 127
5.3.2 Repeater/RLV 128
5.3.3 Media Taps/Media Splitter 129
5.4 Full-Duplex Ports 129
5.4.1 Rücksetzung auf Half-Duplex 129
5.4.2 Media Taps/Media Splitter 130
5.5 Messung auf der Seite der Endgeräte 131
5.5.1 Und wieder: Shared Media LAN 131
5.5.2 Eingeschränkter Nutzen des Full-Duplex-Betriebes 132
5.6 Eingriff ins System: Gefährlich! 132
5.7 Messungen am Switch: Media Tap! 133
Kapitel 6 Notfallmessungen 135
6.1 Abgestimmtes, gemeinsames Vorgehen! 136
6.1.1 Angaben zum Störfall/Analysefragebogen 136
6.1.2 Ansprechpartner/Vorbereitungen Ihrerseits 136
6.1.3 Wie es losgeht = Warum wir wenig reden 137
6.1.4 Runder Tisch: Alle müssen da sein! 138
6.1.5 Weitere Vorgehensweisen 138
6.1.6 Der Messbericht 139
6.1.7 Reaktionszeit verkürzen = Teamarbeit! 139
6.1.8 Schnell ans Ziel gelangen! 139
6.2 Online-Fragebogen im Internet 140
Kapitel 7 Kritik der LAN-Architekturen 147
7.1 Kritik des Shared Media LAN 148
7.1.1 LAN - Last Area Network 148
7.2 Das Funktionsprinzip herkömmlicher LANs 151
7.3 SAN statt LAN bei der Datenhaltung 157
7.4 IPv6, RSVP, L3-Switching, Network Policy 158
7.4.1 QoS, Echtzeit etc. - wer erhält welche Dienstgüte? 159
7.4.2 Policy Based Networks 159
7.4.3 Netzwerkmanagement 160
7.4.4 VLANs, Netzwerk- und Projektmanagement 160
7.5 Fazit 161
Kapitel 8 Das OSI-Modell 163
8.1 Normierungen 164
8.2 Protokolle = festgelegte Verfahrensregeln 165
8.3 Die sieben Schichten 166
8.4 Layer 1: Physical 166
8.4.1 Serielle Bitübertragung 166
8.4.2 A/D-Wandler 166
8.4.3 Prüfsummen 166
8.5 Layer 2: Data Link 167
8.5.1 Layer 2a: MAC = Media Accress Control 167
8.5.2 Layer 2b: LLC = Logical Link Control 167
8.6 Layer 3: Network 168
8.6.1 Modem Sharing - Gateways - Router 168
8.6.2 Netzwerkadressen 168
8.6.3 Router Exchange Protocols 169
8.6.4 Layer 3 - verbindungslos/ungesichert 169
8.7 Layer 4: Transport 169
8.7.1 Layer 4 - verbindungsorientiert/abgesichert 170
8.7.2 Datenfluss-Steuerung 170
8.7.3 Handshake/Verbindungsaufbau und -abbau 170
8.7.4 Quick And Dirty 170
8.8 Layer 5: Session 171
8.8.1 Login/Authentisierung 171
8.8.2 Zugriffsschlüssel 171
8.9 Layer 6: Presentation 171
8.9.1 Lo/Hi - LSB/MSB - Little/Big Endian 171
8.9.2 Zeichensatztabellen 172
8.10 Layer 7: Application 172
8.11 Header, Trailer, Daten: SDU+PCI=PDU 173
Kapitel 9 Physical Layer 175
9.1 Vorbemerkung 176
9.2 Physical Coding 176
9.2.1 Bit-Codierungen im Shared Media LAN 176
9.2.2 Signal-Kodierung/binär 177
9.2.3 Signal-Kodierung/ternär 177
9.2.4 Signal-Kodierung & Kabel 177
9.2.5 Takt-Rückgewinnung/Synchronisation 177
9.2.6 Die gängigsten Binär-Kodierungen 178
9.2.7 RZ - Return to Zero 178
9.2.8 NRZ - No Return to Zero 178
9.2.9 NRZ-L - No Return to Zero/Level 179
9.2.10 NRZ-M - No Return to Zero/Mark 179
9.2.11 NRZ-S - No Return to Zero/Space 179
9.2.12 Manchester Code: Ethernet - 10 Mbps 179
9.2.13 Differential Manchester: Token Ring - 4/16 Mbps 179
9.2.14 4B/5B: FDDI - 100 Mbps 180
9.2.15 8B/6T: Fast Ethernet - 100 Mbps 181
9.2.16 8B/10B: Gigabit Ethernet - 1000 Mbps 182
9.3 Die häufigsten Fehlerquellen in der Physik 182
9.3.1 Netzeingangsstrom: Network BIAS 183
9.3.2 Phasenverschiebungen/Jitter 183
9.3.3 Abfallzeit: Fall Time 185
9.3.4 Bit-Rate: bit rate 185
9.3.5 Einwirkende Störstrahlungen 186
9.3.6 Relaisschaltungen: Token-Ring 187
9.4 Das Auffinden von Fehlern in der Physik 188
9.4.1 Kabeltester 189
9.4.2 Twisted-Pair-Verkabelungen 190
9.4.3 Koax-Kabel 192
9.4.4 Token-Ring mit IBM Typ-1 Kabel 193
9.4.5 Netzwerk-Management mit SNMP+RMON 194
9.4.6 Eingrenzungen mittels Verkehrstabellen 195
9.4.7 Der LAN-Analyzer ist unverzichtbar 199
9.4.8 Beachtung von OSI-Schicht 3/Network 200
9.4.9 Beachtung von OSI-Schicht 4/Transport 201
9.4.10 Fazit: Wozu dient ein Kabeltester? 201
9.5 8B/6T Code-Tabelle 202
Kapitel 10 MAC Layer 205
10.1 Media Access Control 206
10.1.1 Kernfunktionen von MAC 206
10.1.2 Die Zugriffsberechtigung 206
10.1.3 Das MAC-Protokoll 206
10.1.4 Die Adressierung: MAC-Adressen 208
10.2 Der Aufbau der MAC-Adressen 208
10.2.1 Manufacturer ID und Node ID 209
10.2.2 OUI = Organizationally Unique Identifier 210
10.2.3 LAA und UAA 210
10.2.4 I/G-Bit und U/G-Bit 210
10.2.5 MSB/LSB - kanonisch/non-kanonisch 212
10.2.6 Unterschiedliche Darstellung logischer Adressen 213
10.2.7 Sicherheit vor MAC-Spoofing und Hackern 215
10.2.8 MAC-Spoofing und IP-Spoofing 216
10.3 Die Sicherung: Prüfsummen 217
10.4 Varianten im Zugriffsverfahren 218
Kapitel 11 Fehler auf dem MAC-Layer 219
11.1 Doppelte MAC-Adresse(n) (LAA) 220
11.1.1 Das Szenario 220
11.1.2 Lokaler Konfigurationsfehler 220
11.1.3 Fernkonfiguration mittels RPS 221
11.1.4 Nachweis von doppelten MAC-Adressen 221
11.1.5 Behebung des Fehlers 221
11.2 Broadcast Stroms 222
11.2.1 Mögliche Ursachen von Broadcast Storms 222
11.2.2 Nachweis von Broadcast Storms 225
11.2.3 Abhilfe bei Broadcast Storms 226
11.3 Spanning Tree Bridges 226
11.3.1 Die Spanning Tree BPDU 227
11.3.2 Bridge ID/Bridge Priority 231
11.3.3 Nachweis von Spanning-Tree-Fehlern 232
11.3.4 Spanning Tree Timer 234
11.4 Die Bedeutung der Analyse auf Schicht 2-7 235
Kapitel 12 Ethernet 237
12.1 Einführung 238
12.1.1 Ethernet und Physical Layer 238
12.1.2 Der Ethernet-Frame 239
12.1.3 Ethernet - keine leichte Sache 240
12.2 Vorgehensweise 241
12.2.1 Eingrenzung von Ort und Ursache 241
12.2.2 Ort/Topologie/Protokoll 242
12.3 Physical Layer: die Ethernet-Hardware 242
12.4 Ethernet Collisions - CSMA/CD 244
12.4.1 "Carrier Lost" 246
12.4.2 "Late Collisions" 246
12.4.3 "Phantom Collisions" 248
12.4.4 "Local Collisions" vs. "Remote Collisions" 248
12.4.5 "Runts" 250
12.4.6 "CRC Error" 251
12.4.7 "Alignment Error" 251
12.4.8 "Frame Short" 253
12.4.9 "Frame Long"/"Jabber" 254
12.5 Eingrenzung physikalischer Fehler 254
12.6 Ethernet Frame-Typen 257
12.6.1 Die verschiedenen Frame-Typen 257
12.6.2 Fehler beim Frame-Typ und ihre Erkennung 265
12.7 Bridges/Switches, Spanning Tree & BPDU 266
12.7.1 Das Konzept der Transparent Bridges 266
12.7.2 Fehler: zu lange Umschaltzeiten 267
12.7.3 Fehler: falsche (= zu langsame) Ersatzwege 268
12.7.4 Filter auf BPDU 268
12.8 Ethernet Multicast Addresses 268
Kapitel 13 Token-Ring 271
13.1 Einführung 272
13.2 Das Werkzeug 274
13.3 Der Token-Ring Header 275
13.3.1 Aufbau des Token-Ring Headers 275
13.3.2 SDU+PCI=PDU 277
13.4 Das MAC-Protokoll: Funktionen und Filter 278
13.4.1 SD - Starting Delimiter 278
13.4.2 AC - Access Control 279
13.4.3 FC - Frame Control 280
13.4.4 MAC Destination/Source Address 281
13.4.5 FCS - Frame Check Sequence 281
13.4.6 ED - Ending Delimiter 282
13.4.7 FS - Frame Status 282
13.4.8 Information - LLC Data/MAC Data 285
13.4.9 MAC Frames mit MVID und SVID 285
13.4.10 Filter auf MVIDs 286
13.4.11 Neuer Adapter im Ring 289
13.4.12 DAT/Duplicate Address Test 290
13.4.13 NAUN Process/Ring Poll Process 290
13.4.14 Soft Errors/Fehlermeldungen 292
13.4.15 Isolating/Non-Isolating Soft Errors 294
13.4.16 Ring Error Monitor (REM) 296
13.4.17 Ring Purge 297
13.4.18 Beacon Process 297
13.4.19 Claim Token/Monitor Contention Process 298
13.4.20 Ring Parameter Server (RPS)/
Configuration Report Server (CRS) 299
13.5 Vorgehensweise in der Analyse 300
13.5.1 Eingrenzung von Ort und Ursache 300
13.5.2 Ort des Fehlers in der Ring-Topologie 301
13.6 Filter auf das MAC-Protokoll 302
13.6.1 Filter sind schön, aber gefährlich! 302
13.6.2 Filter auf Token-Ring Source-Routing Frames 304
13.7 Die logischen Adressen von Token-Ring 306
13.7.1 Das Prinzip der logischen Adressen 306
13.7.2 Fest vergebene logische Adressen 307
13.7.3 Funktionsadressen am Beispiel des RPS 308
13.8 Token Ring Source-Routing 309
13.8.1 "Ring Number" 309
13.8.2 Das Routing Information Field (RIF) 310
13.8.3 Wegewahl: ARB, SRB, Explorer Frame 313
13.8.4 Mehrere Wege 314
13.8.5 Konkurrierende Routing-Angaben 314
13.9 Token Ring Access Priority 316
13.9.1 Zugriffsprioritäten 316
13.9.2 Schieflage: Router und Server vs. Brücken 318
13.10 Ferndiagnose via RMON und CMOL 319
13.10.1 RMON 319
13.10.2 CMOL und OS/2 LAN Network Manager 319
13.11 Token-Ring, LLC-SNAP und Ethernet 320
13.12 Transparent vs. Source-Route Bridging 321
13.13 TokenSwitching 321
13.14 Ausblick: Der Ring lebt (noch) 322
Kapitel 14 LLC: Logical Link Control 325
14.1 LCC-Treibervarianten 326
14.1.1 LLC und NetBIOS 326
14.1.2 LLC und NetBEUI 326
14.1.3 LLC und DLC 326
14.1.4 LLC-1 (CLLS) und LLC-2 (COLS) 327
14.2 LLC auf OSI Layer 2b: Abstraction Layer 328
14.3 Der LLC-Header (PCI) 328
14.3.1 Service Access Points (SAP) 329
14.3.2 Control 330
14.4 LLC-Analyse 335
Kapitel 15 SNAP: SubNetwork Access Protocol 337
15.1 Wozu SNAP? 338
15.2 SNAP-Analyse 339
Kapitel 16 TCP/IP - Die DoD-Protokolle 341
16.1 Einführung: Was ist TCP/IP? 342
16.1.1 Sie erben "TCP, Inc." und führen es zum Erfolg 342
16.1.2 Einrichtung von "UDP" wegen des Kostendrucks 344
16.1.3 Sie expandieren und fusionieren mit der "IP, Inc." 344
16.1.4 ICMP meldet Störungen 347
16.1.5 ARP und DNS für die richtige Adresse 348
16.1.6 SNMP+RMON - Überwachung in Echtzeit 348
16.1.7 Des Rätsels Lösung 349
16.2 Die wichtigsten Protokolle der TCP/IP-Familie im Überblick 349
16.2.1 Fundstellen in der WinNT Registry 350
16.2.2 ARP - Address Resolution Protocol 350
16.2.3 IP - Internet Protocol 352
16.2.4 ICMP - Internet Control Message Protocol 354
16.2.5 TCP - Transmission Control Protocol 358
16.2.6 UDP - User Datagram Protocol 360
16.2.7 Details und weitere Protokolle 360
16.3 Vorgehensweise 361
16.4 Adress- und Namensauflösung 361
16.4.1 Betriebsphase 361
16.4.2 Die MAC-Addresse ist falsch zugewiesen (LAA) 363
16.4.3 Die IP-Addresse ist falsch zugewiesen 363
16.4.4 Die IP Subnet Mask stimmt nicht 366
16.4.5 Der NetBIOS Name stimmt nicht 368
16.4.6 Der DNS Name stimmt nicht 368
16.4.7 Die IP Address des DNS-Servers stimmt nicht 368
16.4.8 Umgekehrte Namensabfragen bleiben erfolglos 369
16.4.9 Fehler im Address Resolution Protocol (R/ARP) 369
16.5 Routing-Fehler/Default Gateway 370
16.5.1 Pakete laufen über andere Wege als vorgesehen 371
16.5.2 Pakete werden von Routern verworfen 372
16.5.3 Pakete laufen doppelt: Local Loop 373
16.5.4 Router und ICMP 375
16.6 Im Fokus des Analyzers: ICMP 375
16.6.1 ICMP: "Destination Unreachable" 376
16.6.2 ICMP: "Redirection - Gateway Address" 378
16.6.3 ICMP: "Time Exceeded - TTL Expired" 380
16.6.4 ICMP: "Time Exceeded - ReAssembly Timeout" 380
16.6.5 ICMP: "Fragmentation Needed" 381
16.6.6 ICMP: "Source Quench" 382
16.6.7 ICMP: "Echo Request/Echo Reply" 382
16.6.8 Grenzen von ICMP 384
16.7 Im Fokus des Analyzers: IP 384
16.7.1 IP: Version/Header Length 386
16.7.2 IP: Type of Service (ToS) 387
16.7.3 IP: Total Length 388
16.7.4 IP: Fragment ID 392
16.7.5 IP: Fragmentation Flags 395
16.7.6 IP: Fragment Offset 397
16.7.7 IP: Time To Live (TTL) 398
16.7.8 IP: Protocol 401
16.7.9 IP: Checksum 401
16.7.10 IP: Source/Destination Address 402
16.7.11 IP Expertendiagnose 406
16.7.12 IP und NetBIOS 408
16.8 Im Fokus des Analyzers: TCP 410
16.8.1 Das Prinzip der TCP Data Flow Control 411
16.8.2 TCP: Source/Destination Port 418
16.8.3 TCP: Sequence/Acknowledge Number 422
16.8.4 TCP: Data Offset 429
16.8.5 TCP: Flags 431
16.8.6 TCP: Window Size 435
16.8.7 TCP: Checksum 438
16.8.8 TCP: Urgent Pointer 439
16.8.9 TCP: Maximum Segment Size (Option) 439
16.8.10 TCP Expertendiagnose 440
16.9 Im Fokus des Analyzers: UDP 441
16.10 BOOTP/DHCP 443
16.10.1 BOOTP - Bootstrap Protocol 443
16.10.2 DHCP - Dynamic Host Configuration Protocol 445
16.11 SNMP/RMON 450
16.11.1 SNMP: Befehls- und Abfragesprache 450
16.11.2 SNMP-over-IPX 450
16.11.3 SNMP und CMIP 450
16.11.4 SNMP Community String "public/private" 451
16.11.5 RMON: Ferndiagnose/Verkehrsanalyse 451
16.11.6 HS-RMON 452
16.11.7 Messtechnik im Bereich von TCP/IP 452
Kapitel 17 TCP/IP - Unix /etc 453
17.1 /etc/passwd 455
17.1.1 Achtung! NFS 455
17.1.2 Achtung! UID=0 456
17.2 /etc/shadow 456
17.3 /etc/group 456
17.3.1 Achtung! NFS 457
17.4 /etc/hosts 457
17.4.1 Achtung: Local Host 458
17.5 /etc/hosts.equiv 458
17.6 /etc/networks 459
17.7 /etc/gateways 459
17.7.1 Achtung! route add 460
17.7.2 Achtung! Redundanz vs Sicherheit 460
17.8 /etc/protocols 460
17.9 /etc/services 461
17.9.1 Achtung! Nicht anfassen! 462
17.10 /etc/exports 462
17.10.1 Achtung! -anon=0 464
17.10.2 /etc/exportfs 464
17.10.3 /etc/xtab 464
17.11 /etc/ftpusers 464
Kapitel 18 TCP/IP Diagnose-Tools 465
18.1 Unix-Kommandos 466
18.1.1 arp 466
18.1.2 finger 467
18.1.3 ipconfig 467
18.1.4 lpq/lpstat 468
18.1.5 netstat 468
18.1.6 ping 469
18.1.7 route [add {..} {..} ] 470
18.1.8 snmp start stop 471
18.1.9 traceroute (WinNT: tracert) 471
18.2 TCP/IP Diagnose-Tools für Windows 472
18.2.1 Großes Netzwerkmanagement 472
18.2.2 Kleine Netzwerk-Tools 473
18.2.3 AnySpeed (PY Software, USA) 474
18.2.4 What's Up Gold (Ipswitch, USA) 477
18.3 (Freundlicher) Angriff auf eine Website 490
18.3.1 Einleitung: Nachahmung wird nicht empfohlen! 490
18.3.2 Besuch bei der Fachhochschule Emden 490
18.3.3 Schritt A: TraceRoute 490
18.3.4 Schritt B: Finger 491
18.3.5 Schritt C: Port Scan 493
18.3.6 Schritt D: SNMP Get sysInfo/sysDescr 496
18.3.7 Schritt E: SNMP Get ifPhysAddress 499
18.3.8 Schritt F: SNMP Get ifInOctets 501
18.3.9 Schritt G: DNS LookUp/weitere Betreiber des RZ 502
18.3.10 Schritt H: DNS LookUp/Mail System 502
18.3.11 Schritt I: Der Angriff auf das Mail-System 503
18.3.12 Fazit 504
18.4 Hacker-Tools 504
Kapitel 19 Troubleshooting mit TCP/IP 505
19.1 IP-Host antwortet nicht: Ping 506
19.2 IP TTL (Time To Live): TraceRoute 508
19.3 Routing-Fehler: ICMP & Expertendiagnose 514
19.4 Netzwerk langsam: Durchsatzmessung 518
19.5 IP-Pakete gehen verloren: Paketanalyse 519
19.6 Filter setzen auf IP und ARP 520
Kapitel 20 NetWare IPX, SPX, NCP 523
Kapitel 21 Windows Networking 525
21.1 NetBIOS 526
21.1.1 NetBIOS Namen 526
21.1.2 NetBIOS-Namen: 16 Zeichen vs. 32 Zeichen (CIFS) 529
21.1.3 NetBIOS Namensdienste: Broadcasts/WINS 531
21.1.4 NetBIOS Suchdienste 533
21.1.5 NetBIOS Scope ID 533
21.1.6 NetBIOS Nachrichtentypen 534
21.1.7 NetBIOS Protokollvarianten 534
21.1.8 NetBIOS-Bindungen 536
21.1.9 NetBIOS in der WinNT Registry 538
21.2 NetBEUI/NBF 539
21.3 NWLink - NetBIOS über NetWare-IPX 540
21.4 NetBT - NetBIOS over TCP/IP 542
21.5 Suchdienst/Browser 544
21.5.1 Varianten der NetBIOS Namenstabellen 545
21.5.2 Der Hauptsuchdienst/Master Browser 546
21.5.3 Je NetBIOS-Transport ein Suchdienst 548
21.5.4 Reihenfolge der Protokollbindungen zählt 548
21.5.5 Viele Suchdienst-Server/Sicherungssuchdienst 550
21.5.6 Suchdienstwahl: Wer ist Master Browser? 551
21.5.7 Namens-Datagramme via UDP Port 137 551
21.5.8 "MSBROWSE"-Datagramme an UDP Port 138 552
21.6 WINS 552
21.6.1 WINS statt Broadcasts 552
21.6.2 NetBIOS-Registration am WINS-Server 554
21.6.3 Der WINS-Server kennt alle NetBIOS-Ressourcen 554
21.6.4 Mehrere WINS-Server/Replikationen 555
21.6.5 Voraussetzungen für erfolgreichen WINS-Einsatz 556
21.6.6 Der WINS Node Type/Knoten-Typ 557
21.6.7 WINS-Registry-Einträge beim Client 559
21.6.8 Bekannte WINS-Fehler 559
21.6.9 WINS-Knoten-Typ stimmt nicht 559
21.6.10 WINS-Server mit zerstörten Tabellen 559
21.6.11 WINS und DNS: Siamesische Zwillinge 560
21.7 DHCP 560
21.7.1 DHCP-Optionen für WINS: Die sieben Todsünden 560
21.7.2 DHCP-Fehler Nr. 1: IP Endadresse = 255!? 560
21.7.3 DHCP-Fehler Nr. 2: Knoten-Typ = 0x00 561
21.7.4 DHCP-Fehler Nr. 3: Kein Standardwert 562
21.7.5 DHCP-Fehler Nr. 4: 0x44 - ja/0x046 - nein!? 562
21.7.6 DHCP-Fehler Nr. 5: Lokale WINS-Server angeben 564
21.7.7 DHCP-Fehler Nr. 6: LANs ohne WINS-Server!? 564
21.7.8 DHCP-Fehler Nr. 7: Knoten-Typ 0x08 oder 0x00!? 564
21.7.9 DHCP-Fehler Nr. 8: Server-Standort!? 564
21.8 SMB/CIFS 565
21.8.1 Client-Server-Protokoll 565
21.8.2 SMB, NFS, CIFS 566
21.8.3 Fehler im Umfeld von SMB 566
21.8.4 Fehler: Loops in Dateizugriffen 566
21.8.5 SMB/NCP - doppelter Redirector 567
21.8.6 SMB Write-Befehle mit 0 Bytes 567
21.8.7 SMB File Handle ist falsch/0xFFFF 568
21.9 WinNT Server hat lange Antwortzeiten 568
21.9.1 Speicherverwaltung bei WinNT Server 568
21.9.2 Memory-Tuning und Speed-Up 568
21.10 WinNT: Infektionen & Wilderei 569
21.10.1 PrintServer trieb WinNT in den Wahnsinn 569
21.10.2 WinNT kennt DNS-Namen und fragt sie alle ab ... 569
21.10.3 RUMBA-Zugriffe auf Non-Rumba-PC 570
21.11 Windows-Tools zur Netzwerkdiagnose 571
21.12 Registry-Analyse mit RegCheck 573
Kapitel 22 Windows-Tools 581
22.1 arp 582
22.2 browstat 583
22.3 browmon 584
22.4 finger 584
22.5 hostname 585
22.6 ipconfig 585
22.7 lpq 586
22.8 lpr 586
22.9 net 587
22.10 nbtstat 591
22.11 netstat 592
22.12 nslookup 595
22.13 ping 596
22.13.1 ping -a ~ Namensauflösung 596
22.13.2 ping -t ~ Endloslauf 596
22.13.3 ping -n ~ Begrenzte Anzahl 597
22.13.4 ping -l ~ Einstellung der Paketlänge 597
22.13.5 ping -f ~ Fragmentierungstest 598
22.13.6 ping -t ~ Hop Credit: TTL 599
22.13.7 ping -v ~ IP Type of Service (ToS) 600
22.13.8 ping -s ~ IP Option: Time Stamp 601
22.13.9 ping -r ~ IP Option: Record Route 602
22.13.10 ping -j ~ IP Option: Loose Source Route 602
22.13.11 ping -k ~ IP Option: Strict Source Route 602
22.13.12 ping -w ~ Wartezeit bis zum Pong 603
22.13.13 Ping mit Zielliste 603
22.13.14 ping mit kombinierten Parametern 604
22.14 route 604
22.15 tracert 605
Kapitel 23 Ausblick: Windows 2000 609
23.1 Domains, Domain Tree, Active Directory 610
23.2 WINS wird ersetzt durch DDNS 611
23.3 Lightweight Directory Access Protocol 611
23.4 Virtuelle Unternehmensnetze via Internet 612
23.5 Verschlüsselung (A): Kerberos 612
23.6 Verschlüsselung (B): EFS 612
23.7 PDC und BDC werden abgelöst 612
23.8 Replikationen / Partitionen 613
23.9 Vertrauensstellungen 613
23.10 Mobile Computing / Follow Me 614
23.11 IntelliMirror 614
23.12 Migration und Integration 614
23.13 Mixed Mode 615
23.14 Ausblick 615
23.15 Messtechnik und Windows 2000 616
Anhang A Die Registry von Windows NT 617
A.1 NetRules 620
A.2 User Restrictions 626
A.3 Service Provider / Name Space Provider 627
A.4 TCP/IP Service Provider (WinSock) 629
A.5 TCP/IP-Adapterparameter 632
A.6 TCP/IP WinSock - AfD 644
A.7 AppleTalk-Adapterparameter 654
A.8 Browser / Suchdienst 657
A.9 DHCP-Client 661
A.10 DHCP Server 663
A.11 DLC-Adapterparameter 667
A.12 DNS 671
A.13 DNS Zones 686
A.14 InetInfo 690
A.15 IP RIP 701
A.16 LanMan Server 709
A.17 MUP - Multiple UNC Provider 710
A.18 NBF - NetBEUI Transport Frames 711
A.19 NetBT - NetBIOS over TCP/IP 729
A.20 NetBT-Adapter-Parameter 742
A.21 NetLogon 744
A.22 NwLnkIpx - NetWare Link IPX 751
A.23 NwlnkNb - Novell NetBIOS 757
A.24 Streams 760
A.25 TCP/IP-Parameter 761
A.26 TCP/IP Persistent Routes 778
A.27 TCP/IP WinSock 779
A.28 W3SVC - WWW Servivces 781
A.29 WinSock 795
Anhang B Produktbeschreibungen der wichtigsten Software-Analyzer 797
B.1 Observer (Network Instruments) 798
B.2 Etherpeek (AG group) 804
B.3 Surveyor (Shomiti) 807
B.4 LANdecoder32 (Triticom) 810
B.5 CNA pro LAN-Fox (Chevin) 813
Stichwortverzeichnis 817