Beiträge

Um im Internet zu surfen, brauchen wir DNS Server

DNS Server – Dolmetscher des Internets

Ganz einfach gesagt ist ein DNS Server ein Übersetzer zwischen der menschlichen Sprache und der Sprache bzw. den Protokollen im Internet. Ein DNS Server hat die Aufgabe eine IP Adresse zu einem gesuchten DNS Namen zu liefern. Wenn Sie also zum Beispiel die Internetadresse www.biteno.com mit Ihrem Browser aufrufen wollen, benötigt dieser, beziehungsweise das Betriebssystem die zu diesem Domain Name System – Namen zugehörige IP Adresse. Da Computer immer auf Basis von IP Adressen miteinander kommunizieren, können Ihnen nur mit dieser Übersetzung die Daten der Webseite geliefert werden. Diese Aufgabe erfüllt das Domain Name System – aber die eigentliche Arbeit übernehmen viele DNS Server im Internet.

Die Kommunikation im Internet

Um die Funktion eines DNS Server zu verstehen, muss man sich die Abwicklung der Kommunikation im Internet genauer anschauen. Im Internet „reden“ Maschinen miteinander. Damit die Computer sich gegenseitig verstehen, wurden Regeln, sogenannte Protokolle, entwickelt. Die Kommunikation der Maschinen folgt in etwa denselben Regeln wie die der Menschen. Es gibt einen Absender und einen Empfänger. Beide können ihre Funktion im Laufe eines Gesprächs mehrfach wechseln. Sender und Empfänger müssen sich finden können, das geschieht anhand von Adressen, ähnlich der Wohnadresse oder Telefonnummer beim Menschen.

Das Internet Protokoll – IP

Die heutige Kommunikation im Internet beruht auf dem Internet Protokoll, abgekürzt IP bzw. auch unter dem Begriff TCP/IP bekannt. Jedes Gerät ist über eine individuelle IP-Adresse erreichbar. Diese ist entweder eine Zahlenreihe aus vier durch Punkte getrennten ein- bis dreistelligen Zahlen (zum Beispiel 192.168.10.5), oder eine noch schlechter zu merkende achtstellige Gruppe aus jeweils vier Buchstaben und Zahlen (zum Beispiel 2001:0db8:85a3:08d3:1319:8a2e:0370:7344).

Lese-Tipp: Wie IPv6 genau funktioniert…

Letztere Variante – IP Version6, auch IP V6 – wurde vor circa 20 Jahren entwickelt, um der mit der wachsenden Anzahl an internetfähigen Geräten abzusehenden Knappheit der möglichen IP-Adressen nach dem bisherigen Standard IP V4 entgegen zu wirken. Beide Varianten sind derzeit noch in verschiedenen Bereichen des Internets anzutreffen.

Es gibt auch Sonderfälle, wie zum Beispiel das einer Rede vor vielen Menschen, vergleichbar mit dem sogenannten Multicasting im Internet. Dieses wird zum Beispiel bei Liveübertragungen angewendet, wo einer Quelle (Redner) viele gleichzeitige Empfänger (Zuhörer) gegenüberstehen. Für derartige Fälle werden Spezialadressen, wie Multicast- oder Broadcastadressen verwendet.

Die IP-Adresse – Grundlage jeder Kommunikation

Um ein Gespräch beginnen und führen zu können, müssen Sender und Empfänger sich finden. Das gilt sowohl für die Kommunikation zwischen Computern als auch für Menschen im echten Leben.

Für eben diese Kommunikation wird die IP Adresse verwendet. Jedes im Internet ausgetauschte Datenpaket enthält sowohl die IP-Adresse des Senders als auch des Empfängers. Dadurch findet das Datenpaket seinen Weg durch das Internet, es wird geroutet. Dieses Verfahren können Maschinen respektive Computer leicht beherrschen. Der Ansatzpunkt beim Menschen ist aber anders. Er sucht im Internet eine bestimmte Information, von der er im besten Fall weiß, wo er sie finden kann. Das kann zum Beispiel die Webseite der Firma Biteno sein. An dieser Stelle kommt DNS, das Namens- bzw. Adresssystem des Internets, ins Spiel.

Das Domain Name System – DNS

Im Internet benötigt man viele DNS Server

Im Internet benötigt man viele DNS Server

Die Hauptaufgabe des Domain Name Systems (DNS) ist die Auflösung bzw. Zuordnung von Namen zu IP Adressen im Internet. Das DNS ist als hierarchisches Verzeichnis aufgebaut.

Auf der obersten Ebene gibt es die sogenannten Top Level Domains (TLD). Diese werden durch ein Komitee, die ICANN (Internet Corporation for Assigned Names and Numbers) festgelegt und verwaltet. Dazu gehören die bekannten Länderkennungen wie .de für Deutschland und .fr für Frankreich. Generische TLDs (zum Beispiel .com, .net, .org) und gesponsorte TLDs wie .coop, .gov oder .edu werden ebenfalls als TLD eingeordnet.

In der zweiten Ebene werden die eigentlichen Domainnamen geführt, wie .biteno oder .google. Diesen Domainnamen darf es innerhalb einer TLD nur genau einmal geben.

Jeder kann innerhalb seiner Domäne bestimmte Dienste anbieten. Diese haben meist standardisierte Namen wie www, ftp, pop oder smtp.

Diese drei Labels zusammengenommen ergeben den DNS-Namen oder auch die URL (Uniform Resource Locator) eines Dienstes im Internet. Dieser ist auf einem Computer mit einer bestimmten IP Adresse zu erreichen. Die DNS Server im Internet verfügen vereinfacht gesprochen über eine Tabelle mit der Zuordnung von IP Adressen zu DNS Namen.

Die Telefonauskunft des Internets – Der DNS Server

Die DNS Server erfüllen im Internet dieselbe Aufgabe wie das Telefonbuch bzw. die Auskunft im Telefonnetz. Es ordnet Namen IP Adressen zu und gibt diese Auskünfte an Fragesteller weiter. DNS Server lösen diese Aufgaben. Es gibt nicht nur einen DNS Server im Internet, sondern sehr viele.

Diese sind ähnlich hierarchisch geordnet wie das DNS selbst, lösen also Namen für bestimmte Domains auf bzw. „wissen“, wer die gewünschte Auskunft geben könnte. Daher kann eine Namensanfrage über mehrere Hops bis zur Beantwortung laufen.

Wenn Sie in Ihrem Browser eine URL eintippen, beispielsweise www.biteno.com, „weiß“ der Browser bzw. das Betriebssystem normalerweise erst mal nicht, wie diese Internetadresse zu erreichen ist. Die zugehörige IP Adresse ist nicht bekannt. Also wird eine Anfrage an den dem Betriebssystem bekannten DNS Server nach der IP Adresse von www.biteno.com gestellt.

Dieser DNS Server antwortet oder gibt, sofern er die angefragte IP Adresse nicht kennt, die Anfrage an den übergeordneten DNS Server weiter. Sobald auf diese Art die IP Adresse ermittelt ist, im Beispiel die 91.229.3.175, wird sie an das fragende System übermittelt und die Kommunikation zwischen Ihrem Rechner und der gesuchten Webseite beginnt.

Geht es auch ohne DNS Server?

Kritisch wird es, wenn DNS Server ausfallen. Wenn das Namenssystem lokal in Ihrem Netzwerk oder auch in Teilen des Internet versagt, wird klar, wie wichtig dieser Dienst ist. Funktioniert die Auflösung von Namen nicht, ist ein wesentliches Bindeglied der Kommunikation gestört und es können zum Beispiel keine Internetseiten mehr aufgerufen werden.

Der Email-Verkehr kommt in solchen Fällen meist zum Erliegen, selbst das Telefonieren (mit SIP oder über VoIP) kann unmöglich werden. Daher sollten aus Sicherheitsgründen immer mehrere DNS Server im Netzwerk existieren. Auch im Internet ist für Redundanz gesorgt. Bei Kunden-Domains die in einer Top Level Domain registriert werden, müssen immer mindestens 2 unabhängige DNS Server eingetragen werden.

DNS Server erfüllen also eine sehr wichtige Funktion im Internet, ohne die eine Kommunikation nur sehr schwer möglich wäre. Letztendlich sind sie der Mittler zwischen der menschlichen und der Maschinensprache, eben Dolmetscher.

Tutorial

In dieser Einführung zu IPv6 erklären wir daher nicht nur den Unterscheid zwischen IPv4 und IPv6 sondern zeigen außerdem wie IT-Administratoren die neuen IPv6 Adressen sinnvoll nutzen können.

Jeder Server, jedes Smartphone das mit dem Internet verbunden ist, benötigt zur Kommunikation eine IP (Internet Protokoll) Adresse. Dabei sind die TCP/IP-Adressen für Computer-Netzwerke das, was Nummernschilder für ein Auto sind. Sie identifizieren einen Host-Computer eindeutig und ermöglichen es erst, dass die Datenkommunikation zwischen den richtigen Partner stattfinden kann.

Das Problem mit IPv4-Adressen im Internet

Seit der Einführung des Internets Anfang der 1990er Jahre wurden an Firmen, Internet-Provider und z.T. an Privathaushalte IPv4-Adressen vorgegeben. Diese Nummern im Format 123.231.123.254 werden aus Ziffer (0 bis 9) gebildet und bilden einen so genannten Adressraum vom maximal 2^32 Adressen.

2^32 Adressen sind ca. 4,3 Milliarden, wovon ca. 3,7 Milliarden tatsächlich genutzt werden können. Das hört sich nach viel an – ist es aber letztlich nicht. Wenn man bedenkt, dass heute 8-9 Milliarden Menschen auf der Erde leben und in den Industrieländern viele Menschen deutlich mehr als ein Gerät besitzen, mit dem Sie im Internet sind, dann relativiert sich die Zahl von 4,3 Mrd. IPv4-Adressen recht schnell. Die Anzahl von IPv4 Adressen ist schlicht zu wenig um noch alle Geräte der Welt mit IP-Adressen zu versorgen.

Dieser Umstand wurde bereits 1999 von der IETF (Internet Engineering Task Force) erkannt und man veröffentlichte die Erweiterung des IP-Adressraums für das Internet auf die nächste Generation von IP-Adressen: IPv6 war geboren

Warum IPv6

Der Hauptgrund von IPv4 auf IPv6 zu wechseln ist der massiv vergrößerte Adressraum, den IPv6 Adressen abbilden können. Bereits im Jahr 1999 wurde von der IETF ein maximaler Adressraum von 2^128 Bit vorgesehen. Statt 2^32 IPv4-Adressen können mit IPv6 nun 2^128 Adressen abgebildet werden.

Das sind 340,282,366,920,938,463,463,374,607,431,768,211,456 Adressen (Sextillionen = 3,4·1038)

Damit könnte theoretisch jedes Sandkorn auf der Erde eine eigene, eindeutige IPv6-Adresse erhalten.

Wie ist eine IPv6 Adresse aufgebaut?

Eine IPv6 Adresse wird nicht mehr in der dezimalen Schreibweise von IPv4 ausgedrückt, sondern hexadezimal. Eine IPv6 Adresse kann also aus den Ziffern 0 bis 9 und den Buchstaben A bis F bestehen. Dabei besteht eine IPv6 Adresse aus 8 Blöcken zu je 4 Hexadezimalen-Zahlen.

Eine Beispiel-Adresse sieht demnach so aus:

2001:0db8:1234:5678:90ab:cdef:1111:ffff

Schreibweisen von IPv6 Adressen

IPv6 Adressen sind aufgrund des größeren Adressraums deutlich länger als ihre Vorgänger IPv4. Daher gibt es für die Schreibweise von IPv6 Adressen die Möglichkeit diese verkürzt darzustellen.

  • Führende Nullen eines Blocks (Die Bereiche zwischen zwei „:“ Zeichen) können immer weg gelassen
  • Zwei oder mehr aufeinander folgende 0er-Bereiche können als zwei Doppelpunkte „::“ dargestellt werden. Dies ist innerhalb einer IPv6 Adresse aber nur einmal erlaubt, da die Adresse sonst nicht mehr eindeutig wäre.
  • Die Buchstaben A bis F sollen klein geschrieben werden (also a,b,c,d,e,f).

Die Beispiel-Adresse 2001:0db8:0000:0000:0123:0000:0000:0adf kann demnach wie folgt gekürzt werden:

  • 2001:db8::123:0:0:adf

Die führenden Nullen entfallen in allen Blöcken und der dritte und vierte Block mit jeweils :000: werden als „::“ dargestellt. Der sechste und siebte Block werden jeweils als :0: dargestellt.

Ebenso wäre richtig:

  • 2001:db8:0:0:123::adf

Hier würde im Gegensatz zum ersten Beispiel der „::“ Block die letzten beiden :000: Blöcke ersetzen.

Nicht richtig wäre folgende Darstellung:

  • 2001:db8::123::adf

Diese Darstellung ist falsch, da die IPv6 Adresse nicht mehr eindeutig ermittelt werden kann. Die Notation „::“ darf daher in einer IP-Adresse nur einmal vorkommen.

Subnetze im IPv6 Adressbereich

Unter IPv4 wurden Subnetze meist in der Regel in der Form 192.168.0.0/24 dargestellt. Die Subnetzmaske (hier /24) definierte dabei die maximal Anzahl von Hosts (=Computern) in einem Subnetz. Daran hat sich bei IPv6 an sich nichts geändert – lediglich die Subnetze werden größer.

Die Empfehlung bzw. Vorgabe der Vergabestellen für IP-Adressen im Internet sind so genannte Prefixe von /64. Das bedeutet, daß der kleinste an eine Endanwenderfirma vergebene IP-Adressbereich bereits 9,223,372,036,854,775,807 Adressen umfasst.

Als Beispiel: 2001:db8:1234:abcd:: /64

Die nutzende Firma hätte dann die Adressen von 2001:db8:1234:abcd:0000:0000:0000:0001 bis 2001:db8:1234:abcd:ffff: ffff: ffff: ffff zur Verfügung.

Eine einzelne IPv6-Adresse kann mit dem Anhang „/128“ als einzelne Adresse dargestellt werden.

Bsp.: 2001:db8::123:0:0:adf /128

Diese Darstellung entspricht der Notation von 192.168.1.1/32 im IPv4 Schema.

Besonderheiten von IPv6

Mit der Einführung und Nutzung von IPv6 ergeben sich gleichzeitig einige Änderungen gegenüber IPv4.

Kein NAT mehr unter IPv6

Network Adress-Translation (NAT) wird unter IPv4 dazu verwendet, bestimmte Netzwerk-Subnetze wie 192.168.0.0/16 oder 10.0.0.0/8 als private Netze zu definieren, die nicht im Internet geroutet werden. Die Firewalls und Router der betroffenen Firmen mussten also den IPv4 Datenverkehr zwischen dem internen Netz und dem Internet übersetzen.

Damit war es möglich den Adressbereich von IPv4 länger zu nutzen. Im Umkehrschluss wurde damit aber die Ende-zu-Ende Kommunikation von zwei Knoten im Internet praktisch unmöglich.

Technisch ist NAT mit IPv6 Adressen zwar immer noch möglich. Es sollte aber unbedingt vermieden werden, schließlich gibt es ja keinen Mangel mehr an individuellen IPv6-Adressen.

ICMP muss möglich sein – auch aus dem Internet

Damit die Ende-zu-Ende-Kommunikation zwischen allen Endgeräten im Internet funktioniert, muss das ICMP (Internet Control Message Protocol), etwa ein „ping“,  von allen IPv6-Adressen aus möglich sein. Kurz gesagt: IPv6 basiert darauf, dass auch interne IPv6-Adressen von extern aus pingbar sind.

Für Firewall-Administratoren ergeben sich daraus ganz neue Anforderungen. Waren Sie in der Vergangenheit gewohnt, ihre Firewall von der WAN-Seite (WAN=Wide Area Network, i.d.R. das Internet) abzuschotten, so sollten Sie unter IPv6 ihre Firewall zumindest für ICMP-Pakete öffnen.

DHCPv6 und Router Advertisments (RA)

Wie auch bei IPv4 so ist es auch beim Nachfolger IPv6 möglich Endgeräten dynamisch IP-Adressen über den Dienst DHCP zuzuweisen. Im Gegensatz zu DHCP unter IPv4 fehlt dem DHCPv6 aber (absichtlich) der Default-Gateway. Diese unter IPv4 obligatorische Pflichtangabe des Ausgangs aus dem eigenen Subnetz übernimmt unter IPv6 der Dienst Router Advertisments (RA).

Sobald auf einer Firewall (z.B. opnsense oder pfsense) oder einem Host ein Netzwerk-Interface IPv6 „spricht, so muss dann neben dem DHCPv6 Dienst der RA-Dienst aktiviert werden, damit Clients, die ihre IPv6-Adresse über DHCP erhalten, über welchen Weg sie den Rest des eigenen Netzwerks oder des Internets erreichen

Neighbor Discovery Protokoll (NDP) statt ARP

Unter IPv4 diente das „Adress Resolution Protocoll“ (ARP) dazu eine IP-Adresse eindeutig einer MAC-Adresse (der physischen Hardware Adresse eines PCs) zuzuordnen.

Bei IPv6 übernimmt diese Rolle das Neighbor Discovery Protocoll (NDP). Dieser Dienst ist bei den allermeisten Geräten die IPv6 unterstützen aktiv, sobald eine IPv6 Adresse eingetragen oder über DHCPv6 bezogen wurde.

AAAA Records im DNS

Damit die Kommunikation für Endanwender im Internet beherrschbar ist, arbeiten Browser und andere Software-Produkt in der Regel nicht mit IP-Adressen sondern mit besser verständlichen Namen. Der Dienst hinter diesem Namensregister lautet Domain Name System, kurz DNS. Hier werden Namen zu IP-Adressen gespeichert.

Bei der Kommunikation im Web wird dann aus www.wikipedia.de die IPv4 Adresse 134.119.24.29 . Dies ist ein so genannter A-Record.

Damit nun auch IPv6 Adressen im DNS gespeichert werden können, wurde mit IPv6 der AAAA-Record (gesprochen: tripple „Ä“) im DNS eingeführt. Damit können einem Namen im DNS neben dem bestehenden A-Record für seine IPv4-Adresse zusätzlich eine IPv6-Adresse mit gegeben werden.

Wer also mit nslookup die Adresse www.google.de abfragt, der erhält sowohl die Ipv4 als auch die IPv6 IP-Adresse als Antwort:

Name:    www.google.de

Addresses:    2a00:1450:4016:80a::2003

172.217.21.99

Besondere IPv6 Adressen

So wie es bei IPv4 besondere Netze für die private Nutzung oder Localhost-Adressen gibt, so gibt es auch bei IPv6 einige spezielle (Sub-)Netze, die gesondert behandelt werden:

Die Localhost Adresse in Ipv6:

Die klassische Localhost-Adresse lautet für IPv6 ::1/128. Oder ausführlich: 0000:0000:0000:0000:0000:0000:0000:0001 /128 .

Die IPv6 Adresse „::1 /128“ ist das Equivalent zu 127.0.0.1 in IPv4.

Reservierte Netze

Einige Netze oder Prefixe werden seitens der IANA gar nicht vergeben. So ist etwa 2000:: /3 für den Global Unicast reserviert. Daneben sind noch weitere /3 Prefixe (also Subnetze) global reserviert.

Ebenfalls nicht produktiv nutzbar ist das Netz 2001:0db8:: /32. Adressen die mit 2001:db8: beginnen werden in der Regel nur zu Dokumentations- und Demonstrations-Zwecken verwendet (siehe dazu auch rfc3849 der IETF).

URL-Notation von IPv6-Adressen

Wer eine über IPv6 erreichbare URL im Browser über die IP-Adresse aufrufen möchte, muss sich eine neue Notation für den Aufruf der URL einprägen. Damit der Browser die IPv6 von einer IPv4 Adresse unterscheiden kann, lautet der Aufruf:

http://[IPv6:Port]/

Die IPv6-Adresse wird also in eckige Klammern gesetzt. Die Verwendung eines Ports ist optional. Mit einer kompletten IPv6-Adresse sieht das dann z.B. so aus:

http://[2001:db8::123:0:0:adf :7344]/

Parallelbetrieb von IPv4 und IPv6

Wer nun in seinem Netzwerk IPv6 IP-Adressen einführen möchte, der muss nicht sofort alle IPv4 Adressen löschen. Ganz im Gegenteil.

Praktisch alle Betriebssysteme von PCs, Servern und Smartphones bieten seit geraumer Zeit die Möglichkeit sowohl eine IPv4 als auch eine IPv6 Adresse pro einzelnem Gerät zu vergeben. Das bildet den Grundstein für den parallelen Betrieb von IPv4 und IPv6 nebeneinander.

So haben etwa Windows-Server seit der Version 2003 und PCs seit Windows XP die Möglichkeit sowohl eine Ipv4 als auch eine IPv6 Adresse zu vergeben. Auch die meisten Hersteller von Switches und Routern haben IPv6 schon vor langer Zeit in ihre Geräte integriert.

Wer also ein aktuelles Betriebssystem hat und aktuelle Netzwerk-Hardware nutzt, der kann in der Regel IPv6-Adressen eingeben und verwalten.

Migration von IPv4 zu IPv6

Um nun schrittweise die eigene Infrastruktur für IPv6 fit zu machen, sollten IT-Administratoren sich zunächst um die Zuweisung eines statischen /64 Präfixes kümmern. Diesen erhalten Sie in der Regel von ihrem ISP (Internet Service Provider).

Hinweis: Kunden des IT-Dienstleisters Biteno GmbH erhalten im für Services im Rechenzentrum der Biteno einen /64 Präfix aus unserem Netzabschnitt 2a06:fbc0:: /29 der uns von der europäischen Vergabe-Agentur RIPE zugewiesen wurde.

Im zweiten Schritt gilt es dann – wie auch schon bei IPv4 – allen Servern und statischen Geräten eine feste IPv6 Adresse zu vergeben.

Endgeräte, die von Anwendern genutzt werden, erhalten dann ihre IPv6 Adresse über DHCPv6 in Kombination mit dem weiter oben beschriebenen Router Advertisments.

Da Umstellungen bzw. Einführungen von IPv6 im Unternehmen nicht einmal nebenbei erfolgen können, empfiehlt es sich, zunächst die Hilfe eines erfahrenen Consultants eines IT-Dienstleisters in Anspruch zu nehmen.

IPv6 testen

Wer heute einmal probehalber testen möchte, ob sein Endgerät schon mit IPv6 kommuniziert, kann das auf den folgenden Seiten testen:

Auf dem eigenen PC/Notebook kann man die eigene IPv6 Adresse mit dem Befehlt “ipconfig /all” ermitteln. Das Ergebnis sieht dann z.B. so aus:

IPv6 Konfiguration auf dem eigenen PC/Notebook

IPv6 Konfiguration auf dem eigenen PC/Notebook

Fazit zu IPv6

Bei IPv6 müssen IT-Administratoren einige wichtige Besonderheiten wie den Wegfall von NAT oder die besondere Schreibweise von IPv6-Adressen “lernen” und verstehen. Sobald diese Neuigkeiten verdaut sind, steht dem produktiven Betrieb der eigenen IT-Infrastruktur mit IPv6 aber nichts mehr im Wege.

ISO-OSI-7-Schichten-Modell

Einführung: Netzwerke mit TCP/IP

Wer heute als Linux-Administrator oder Windows-Profi Server oder ganze Netzwerke verwaltet, der benötigt gute bis sehr gute Netzwerk-Kenntnisse. Dabei spielt TCP/IP  als meistgenutztes Netzwerkprotokoll eine herausragende Rolle.

Im Rahmen unserer Reihe zum Thema Linux-Administration bzw. Windows-Administration geben wir Ihnen einen kurzen Überblick über die wichtigen Facetten von TCP/IP. Das nachfolgende Tutorial richtet sich in erster Linie an Einsteiger. Aber auch fortgeschrittene Netzwerk-Administratoren finden sicher noch das eine oder andere Detail, das Ihnen bei der täglichen IT-Administration hilft

Im ersten Abschnitt erläutern wir die Grundlagen des wichtigsten Netzwerk-Protokolls (TCP/IP). Danach lernen Sie die wichtigsten Hilfsmittel und Tools zum Troubleshooting im Netz kennen.

TCP/IP

Grundlagen:

Eine TCP/IP Adresse (TCP/IP = transport control protocol/ internet protocol) in der Version 4 (meist IPV4 genannt) ist eine Nummerierung mit 4 binären Adressblöcken von maximal 2^8 (=256) Adressen

Es können also 256*256*256*256 = 2^32 = 4.294.967.296 Adressen weltweit verwendet werden.

Da dies schon lange nicht mehr ausreicht, wurde schon vor langer Zeit der IPV6 Standard definiert, der aber immer noch nicht flächendeckend eingesetzt wird.

Format einer IP-Adresse: 10.51.136.5

Generell gilt: Die End-Adresse „0“ (null)  kann nicht verwendet werden, ebenso ist die Nr. 255 tabu. Sie wird als Broadcast-Adresse verwendet.

MAC Adresse

Herstellercodes von MAC-Adressen (Auswahl)
00-07-E9-xx-xx-xxIntel
00-60-2F-xx-xx-xxCisco
00-15-F2-xx-xx-xxAsus

Jedes Internet-fähige Gerät hat auf seiner Netzwerkschnittstelle eine ein-eindeutige MAC-Adresse. Sofern ein Gerät (PC, Server, Switch) mehr als ein physisches Interface hat, so besitzt jedes Netzwerk-Interface eine eigene MAC-Adresse.

Bei Microsoft heißt diese „physikalische Adresse“.

Fomat: 00-11-22-33-44-55.

Es können alle hexadezimalen Zeichen vorkommen (0..9, A..F).

Einzelne Hersteller haben feste Adress-Bereiche reserviert, die sie bei der Produktion vergeben. (siehe Tabelle)

Wichtig: Wenn Sie virtuelle Maschinen anlegen (egal ob VMWare, Hyper-V oder KVM) so achten Sie bitte darauf, daß Sie unterschiedliche MAC-Adressen für ihre VMs verwenden.

 

 

TCP/IP im OSI-Schichtenmodell

Das OSI-Schichtenmodell (engl. OSI Layer) beschreibt 7 Schichten, die für das Zustandekommen von Daten-Kommunikation notwendig sind.

Layer 1: physische Schicht (-> Kabel)
Layer 2: Sicherungs-Schicht; Ethernet
Layer 3: Vermittlung, IP-Protokoll
Layer 4: Transport, TCP

ISO-OSI-7-Schichten-Modell

ISO-OSI-7-Schichten-Modell

Für das Nachfolgende gehen wir davon aus, daß an das Netzwerk anzuschließende Geräte entweder über Kupferkabel (Cat 5 bis Cat7 Ethernet-Kabel, sftp) oder Glasfaser-Kabel über Switches untereinander verbunden sind.

Switches arbeiten auf Layer 2 und können je nach Funktionsumfang auch Aufgaben auf Layer 3 übernehmen.

Mehr Informationen dazu: https://de.wikipedia.org/wiki/OSI-Modell

Reservierte IP-Adress-Bereiche

127.0.0.x -> die Adresse 127.0.0.1 ist als Loopback auf jedem Gerät vorhanden und wird nicht weiter geleitet (geroutet)

Damit größere Firmen ihre internen Geräte durchgängig mit IP-Adressen versehen können, werden die folgenden IP-Adressbereiche nicht im Internet geroutet.

10.x.x.x
172.10.x.x
192.168.x.x

Diese Adressbereiche können von jedermann intern (d.h. hinter der eigenen Firewall) genutzt und nach persönlichen Präferenzen in Subnetze unterteilt werden.

Subnetze

Damit TCP/IP vernünftig funktioniert, wird es in so genannte Subnetze unterteilt. Dabei werden größere Adressbereiche in kleinere Adressbereiche unterteilt. Diese Segmentierung erfolgt mit Hilfe von Subnetzmasken.

Das (frei verwendbare) IP-Subnetz 10.x.x.x kann bspw. Mit der Subnetzmaske „255.255.255.0“ etwa werden daraus mehrere Subnetze mit jeweils 256 Adressen. Etwa das Subnetz 10.42.136.0.

Die Netzwerkmaske:

(S. Wikipedia) Die Netzmaske, Netzwerkmaske oder Subnetzmaske ist eine binäre Maske, die im Netzwerkprotokoll IPv4 bei der Beschreibung von IP-Netzen angibt, welche Bit-Position innerhalb der IP-Adresse für die Adressierung des Netz- bzw. Host-Anteils genutzt werden soll. Der Netzanteil erstreckt sich innerhalb der IP-Adresse lückenlos von links nach rechts; der Hostanteil von rechts nach links. Der für die Adressierung des Netzanteils innerhalb der IP-Adresse genutzte Bereich wird auch Präfix genannt. Anstelle einer Subnetzmaske kann dieser für IPv4 und IPv6 auch mit der Angabe einer Präfixlänge spezifiziert werden. (bspw. /24)

In Verbindung mit der IP-Adresse eines Gerätes legt die Netzmaske fest, welche IP-Adressen dieses Gerät im eigenen Netz ohne die Zuhilfenahme eines Routers erreichen kann und für welche Ziel-Netze das Gerät Pakete an einen Router zwecks weiterer Vermittlung in andere Netzen zustellen muss. Der Netzwerkteil muss bei allen Geräten des jeweiligen Netzes gleich sein und damit verwenden alle Kommunikationsteilnehmer dieses IP-Netzes in der Regel auch dieselbe Subnetzmaske (bzw. Präfixlänge). Der Geräteteil der IP-Adresse wird für jedes Gerät innerhalb des Netzes individuell vergeben.

 

 

Übliche Netzmasken bei TCP/IP

NetzmaskeAnzahl nutzbarer IPv4-AdressenMaske als Bit-Muster
/8255.0.0.0max. 16.777.2141111’1111.0000’0000.0000’0000.0000’0000
/12255.240.0.0max. 1.048.5741111’1111.1111’0000.0000’0000.0000’0000
/16255.255.0.0max. 65.5341111’1111.1111’1111.0000’0000.0000’0000
/20255.255.240.0max. 40941111’1111.1111’1111.1111’0000.0000’0000
/21255.255.248.0max. 20461111’1111.1111’1111.1111’1000.0000’0000
/22255.255.252.0max. 10221111’1111.1111’1111.1111’1100.0000’0000
/23255.255.254.0max. 5101111’1111.1111’1111.1111’1110.0000’0000
/24255.255.255.0max. 2541111’1111.1111’1111.1111’1111.0000’0000
/25255.255.255.128max. 1261111’1111.1111’1111.1111’1111.1000’0000
/26255.255.255.192max. 621111’1111.1111’1111.1111’1111.1100’0000
/27255.255.255.224max. 301111’1111.1111’1111.1111’1111.1110’0000
/28255.255.255.240max. 141111’1111.1111’1111.1111’1111.1111’0000
/29255.255.255.248max. 61111’1111.1111’1111.1111’1111.1111’1000
/30255.255.255.252max. 21111’1111.1111’1111.1111’1111.1111’1100
/31255.255.255.254Keine1111’1111.1111’1111.1111’1111.1111’1110
/32255.255.255.255Keine1111’1111.1111’1111.1111’1111.1111’1111

Darstellung der Netzmaske

Eine Netzmaske ist genau so lang wie eine IPv4-Adresse, also 32 Bit. Eine 1 in der Netzwerkmaske kennzeichnet die Verwendung des Bits an derselben Position in der IP-Adresse für die Adressierung von Netzen. Eine 0 an derselben Position in der IP-Adresse kennzeichnet Adressinformationen für den Geräteanteil.

Der Netzwerkteil einer IPv4-Adresse ergibt sich damit aus ihrer bitweisen logischen AND-Verknüpfung mit der Netzmaske. Nach der bitweisen Negation der Netzmaske wird der Geräteteil ebenso abgetrennt.

Beispiel

IPv4-Adresse11000000 10101000 00000001 10000001192.168.1.129
UNDNetzmaske11111111 11111111 11111111 00000000255.255.255.0
=Netzwerkteil11000000 10101000 00000001 00000000192.168.1.0

 

IPv4-Adresse11000000 10101000 00000001 10000001
UNDNOT Netzmaske00000000 00000000 00000000 11111111
=Geräteteil00000000 00000000 00000000 10000001

Quelle: https://de.wikipedia.org/wiki/Netzmaske

 

Geräte im TCP/IP Netz

Damit Geräte miteinander zu einem Netzwerk verbunden werden können, benötigt man Switche bzw. Hubs.

Damit Netzwerkverkehr in die richtige Richtung geleitet wird, benötigt man pro Subnetz einen Router. Sie haben in Netzwerken die Aufgabe zu wissen, über welchen Weg welche entfernten IP-Adressen zu erreichen sind. Wenn man so will, sind das erweiterte Telefonbücher des Internets auf IP-Adressen-Basis.

Firewalls sind Router, die zusätzlich zur Vermittlung auf Layer 4 die Aufgabe übernehmen, bestimmten Datenverkehr zu erlauben und unerwünschten Datenverkehr zu unterbinden.

Ein Vergleich zum Straßenverkehr: Ein Router ist eine Ansammlung von Hinweisschildern welche die Richtung weisen. Ein Firewall ist ein Polizist, der bestimmte Regeln durchsetzt.

Router

Ein Router ist ein Gerät, das Netzwerkverkehr weiter leitet und das weiß welche Datenpakete wohin müssen.

Damit TCP/IP funktioniert, muss es in jedem Subnetz einen Router geben. Der Router ist mit einem Netzwerkinterface in eben diesem Subnetz und hat mindestens ein weiteres Interface in einem weiteren Subnetz, in das er die Netzwerkpakete weiter leitet.

Der Router ist das einzige Gerät bzw. die einzige TCP/IP-Netzwerk-Adresse, die zwingend im eigenen Subnetz liegen muss. Alle anderen für TCP/IP notwendigen Dienste wie DNS, NTP können in einem entfernten Subnetz liegen.

Hinweis: Router haben in der Regel mehrere Netzwerk-Anschlüsse oder können pro NIC (Netzwerkkarte) mehrere IP-Adressen bedienen. Daher kann ein und derselbe Router durchaus mehrere Subnetze bedienen.

Hub

Ein Hub verbindet (genauso wie ein Switch) Geräte miteinander. Im Gegensatz zum Switch hat er aber praktisch keine eigene „Intelligenz“. Faktisch kommen heute kaum noch Hubs zum Einsatz.

Switches

Switches verbinden Server und PCs/Clients per RJ-45 Kabel über eine Kupferleitung miteinander. Die übliche Geschwindigkeit beträgt meist 1Gbit/Sekunde.  Sehr einfache und in der Regel billige Switches sind un-managed. Bei Ihnen sind einfach alle Ports miteinander verbunden. Jeder Port kann mit jedem „reden“ d.h. Daten austauschen.

Verwaltbare Switche sind in der Regel für den Rack-Einbau gedacht und bieten meist mehr Features. Je nachdem ob der Switch auf Layer 2 oder Layer 3 arbeitet, hat er meist auch die für die OSI-Schicht notwendigen Features mit an Bord.

 

VLANs (virtuelle LANs)

Das wichtigste Feature von verwaltbaren Switches ist meist die Möglichkeit, den Switch bzw. mehrere Switche in logische so genannte VLANs zu unterteilen. Ein VLAN (virtual LAN) kann man sich wie einen Switch im Switch vorstellen.

Kurz gesagt: Alle Ports, die einem VLAN zugeordnet sind, können Daten miteinander austauschen. Ports, die nicht ihrem eigenen VLAN zugeordnet sind, sind für Sie nicht erreichbar.

Anwendungszwecke von VLANs

Durch VLANs lassen sich logische Netze erstellen und über ein und dieselbe physische Infrastruktur verwalten.

  • Trennung von Daten-Netzen von Voice-Over-IP (VoIP)
  • Trennung von unterschiedlichen Netzen (internes LAN, Internet, DMZ) in Firmen bzw. Rechenzentren

 

Dienste im TCP/IP Netz

Damit TCP/IP richtig funktioniert, benötigt man mindestens die Auflösung von IP-Adressen zu Namen und umgekehrt. Diese Aufgabe übernimmt das DNS (Domain Name System).

Daneben gibt es noch eine Reihe weiterer sinnvoller Dienste wie DHCP (dynamic host configuration protocol) oder das Netzwerk-Protokoll, welches die korrekte aktuelle Zeit liefert (ntp)

DNS (Domain Name System)

DNS ist ein zentraler Dienst, der die Zuordnung  von  Host- bzw. Domain-Namen zu einer oder mehrerer IP-Adressen vornimmt.

DNS kann man sich wie eine Telefonauskunft vorstellen: Ich weiß mit wem ich sprechen möchte (=Name), kenne aber seine Telefon-Nummer (=IP-Adresse) nicht.

Weiterführende Lektüre: https://de.wikipedia.org/wiki/Domain_Name_System

Im Internet existieren einige, wenige so genannte Root-Server. Diese stellen die oberste Ebene des weltweiten Internets dar. In Ihnen ist in der Regel nur der Verweis auf bestimmte Domain-Teile (etwa die .de-Domains) oder einzelne untergeordnete DNS-Server vorhanden.

Die Funktion und Aufrechterhaltung dieser Root-Server ist für das Funktionieren des Datenverkehrs im gesamten Internet unglaublich wichtig. An einen Root-Server wendet sich praktisch jeder untergeordnete DNS-Server, der eine Anfrage nicht selbst beantworten kann.

DHCP

Über DHCP ist es möglich, Endgeräten dynamisch eine gültige IP-Adresse zuzuweisen. D.h. das Endgerät meldet sich beim Booten per Broadcast (… „hallo ist da jemand…“) mit seiner MAC-Adresse und erhält vom dhcp-Dienst eine gültige IP-Adresse für einen bestimmten Zeitraum (meist 1-3 Tage).

Die IP-Adresse enthält:

  • Die eigene IP-Adresse
  • Die Netzmaske
  • Den Gateway

Optional – aber extrem sinnvoll – wird noch ein DNS Server mit übergeben.

Ein DHCP Dienst sollte idealerweise im gleichen Subnetz vorhanden sein, wie die Clients die der dhcp-Dienst bedient.

 

ARP (Adress Resolution Protocol)

Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das zu einer Netzwerkadresse der Internetschicht die physikalische Adresse (Hardwareadresse) der Netzzugangsschicht ermittelt und diese Zuordnung gegebenenfalls in den so genannten ARP-Tabellen der beteiligten Rechner hinterlegt. Es wird fast ausschließlich im Zusammenhang mit IPv4-Adressierung auf EthernetNetzen, also zur Ermittlung von MAC-Adressen zu gegebenen IP-Adressen verwendet, obwohl es nicht darauf beschränkt ist. Für IPv6 wird diese Funktionalität nicht von ARP, sondern durch das Neighbor Discovery Protocol (NDP) bereitgestellt.

Quelle: https://de.wikipedia.org/wiki/Address_Resolution_Protocol

NTP (Network Time Protocol)

Über das Time Protocol kann die exakte Uhrzeit über das TCP/IP Netzwerk angefragt werden. Die Server für Deutschland lauten:

server 0.de.pool.ntp.org

server 1.de.pool.ntp.org

server 2.de.pool.ntp.org

server 3.de.pool.ntp.org

 

WOL (Wake on LAN)

Wake on LAN (WOL) ist die Möglichkeit, ausgeschaltete Endgeräte per Broadcast an ihre MAC-Adresse „aufzuwecken“ und booten zu lassen.

Beispiel: Wake on LAN

Beispiel: Wake on LAN

Voraussetzung: Das Bios des Geräts unterstützt das und die Funktion ist im Bios eingeschaltet.

Zur Nutzung benötigen Sie dann noch eine Software, die die Endgeräte „aufweckt“.

 

Bsp.: WOL von Aquilatech

https://wol.aquilatech.com/

 

 

Ports in TCP

(Wikipedia) Ein Port ist der Teil einer NetzwerkAdresse, der die Zuordnung von TCP– und UDP-Verbindungen und -Datenpaketen zu Server– und Client-Programmen durch Betriebssysteme bewirkt. Zu jeder Verbindung dieser beiden Protokolle gehören zwei Ports, je einer auf Seiten des Clients und des Servers.

Zur Einordnung: Wenn die TCP/IP-Adresse das virtuelle Nummernschild eines jeden Servers ist, dann sind die Ports die Eingänge zum System. Ähnlich wie dieTüren oder die Heckklappe bzw. der Kofferraumdeckel eines Autos steuern Ports, wo und wie Anwender auf ein Computer-System von außen zugreifen können.

Gültige Portnummern sind 0 bis 65535.

System Ports (0 – 1023)

Die System Ports oder auch „well known ports“ sind für bestimmte Dienste reserviert wie DNS, Mail oder NTP. Jeder Dienst in TCP/IP hat faktisch eine ihm zugewiesene Port-Nummer. Die Zuweisung erfolgt dauerhaft durch die IETF. (Internet Engineering Task Force)

Ports, die sie kennen sollten:

7TCPUDPEchooffiziell
20TCPFTP – Datenübertragungoffiziell
21TCPFTP – Verbindungsaufbau und Steuerungoffiziell
22TCPUDPSecure Shell (SSH) wird für verschlüsselte Fernwartung und Dateiübertragung genutzt (scp, sftp) sowie für getunnelte Portweiterleitungoffiziell
23TCPTelnet – unverschlüsseltes Textprotokoll, z. B. für Fernwartung (ähnlich SSH, mit telnetd) oder manuelle Kommunikation über Textprotokolle wie HTTPoffiziell
25TCPSimple Mail Transfer Protocol (SMTP) wird für die E-Mail-Übermittlung zwischen E-Mail-Servern genutzt und findet sehr breite Unterstützung.offiziell
53TCPUDPDomain Name System (DNS), meist über UDPoffiziell
67UDPBootstrap Protocol (BOOTP) Server; auch genutzt von DHCPoffiziell
68UDPBootstrap Protocol (BOOTP) Client; auch genutzt von DHCPoffiziell
69UDPTrivial File Transfer Protocol (TFTP)offiziell
80TCPHypertext Transfer Protocol (HTTP)offiziell

 

PortTCPUDPBeschreibungStatus
109TCPPost Office Protocol v2 (POP2)offiziell
110TCPPost Office Protocol v3 (POP3)offiziell
118TCPUDPSQL-(Structured Query Language)-Diensteoffiziell
123UDPNetwork Time Protocol (NTP) zur (hoch)genauen Zeitsynchronisierung zwischen mehreren Computernoffiziell
137TCPUDPNetBIOS NetBIOS Name Serviceoffiziell
138TCPUDPNetBIOS NetBIOS Datagram Serviceoffiziell
139TCPUDPNetBIOS NetBIOS Session Serviceoffiziell
143TCPUDPInternet Message Access Protocol (IMAP) – Mail-Managementoffiziell
161UDPSimple Network Management Protocol (SNMP)offiziell
162TCPUDPSimple Network Management Protocol Trap (SNMPTRAP)[13]offiziell
179TCPBGP (Border Gateway Protocol)offiziell
220TCPUDPInternet Message Access Protocol (IMAP), version 3offiziell
264TCPUDPBGMP, Border Gateway Multicast Protocoloffiziell

 

Registered Ports

Ports 1024 bis 49151 (400hex bis BFFFhex) – sie werden z.B. für Datenbanken oder Client-Programme verwendet. Die Zuweisung erfolgt in der Regel durch die IETF.

Bsp.: mySQL: Port 3306

Dynamic Ports

Ports 49152 bis 65535 (C000hex bis FFFFhex). Diese Ports werden in der Regel durch das Betriebssystem dynamisch an die nutzende Software vergeben.

 

 

Netzwerk Trouble-Shooting

Um ein Netzwerk zu testen bzw. Fehler zu identifizieren, benötigt man eigentlich wenige Tools. Viel wichtiger noch als Tools ist das Vorhandensein einer Dokumentation bzw. eines Netzwerk-Planes.

Grundsätzliches zur Fehlersuche im Netzwerk

Bei kaum einer anderen IT-Disziplin ist ein strukturiertes Testen und Dokumentieren so wichtig wie in einer Netzwerk-Topologie.

Anders herum: willkürliches Rumprobieren oder gar „Raten“ führt in Netzwerken meistens ins Nichts oder zu grauen Haaren.

Mein Rat daher: Erstellen Sie einen schriftlichen Plan ihres Netzwerkes. Dazu eignet sich Visio sehr gut. Eine ordentlich beschriftete und vollständige handschriftliche Skizze ist aber ebenso eine ausreichende Dokumentation bei der Fehlersuche.

Für alles weitere: Schreiben Sie jeden einzelnen Test, jeden Schritt auf. Dokumentieren Sie jede Funktion und jede Fehlfunktion.

Bspw.:

  • Ping von A nach B geht.
  • Ping von B nach C geht nicht
  • Traceroute von A nach X ergibt folgende Ausgabe

Änderungen: Um Fehler im Netz zu finden und abzustellen  müssen sie Änderungen vornehmen. Das ist an sich logisch. Widerstehen Sie aber bitte unbedingt der Versuchung, mehr als eine Veränderung auf einmal vorzunehmen. Immer nur eine Veränderung (etwa in der Konfiguration eines Switches oder Routers) auf einmal. Danach testen sie wieder und dokumentieren sie die Test-Ergebnisse

Netzwerk-Troubleshooting ist ein bisschen wie ein Versuchsaufbau im Physikunterricht: Sie ordnen ihre Versuchs-Elemente (Switch, Kabel, Router). Sie stellen ihre Parameter ein und messen anschließend ob das gewünschte Ergebnis heraus kommt.

Wenn Sie den Versuch ändern, dann ändern Sie immer nur einen Parameter auf einmal und messen wieder (und dokumentieren das Ganze). Wenn Sie das nicht tun, ist hinterher ihr gesamter Mess-Versuch für die Katz, weil Sie das Gesamtverhalten nicht re-produzieren können.

 

 

Tools im Netzwerk

Ipconfig (Windows)

Mit ipconfig können sie die folgenden Fragen beantworten:

  • Welche IP-Adresse habe ich. ?
  • Wie lautet mein Gateway / DHCP Server?
  • Welche DNS Server nutze ich?

Befehle:

ipconfig /all – listet alle Interfaces und IP-Einstellungen

Ipconfig /release  – gibt dhcp Adresse frei

Ipconfig /renew  – holt eine neue IP-Adresse vom dhcp Dienst

ipconfig an einem Windows Rechner

ipconfig an einem Windows Rechner

 

Ifconfig / ip addr (Linux)

Unter Linux können Sie die genutzten IP Adressen mit ifconfig (alt) oder mit „ip addr“ identifizieren.

Beispiel für ipconfig:

Beispiel für "ifconfig" unter Linux

Beispiel für „ifconfig“ unter Linux

Beispiel für „ip addr“

Beispiel für "ip addr" unter Linux

Beispiel für „ip addr“ unter Linux

Ping

Ein Ping sendet ein einfaches Datenpaket von Host A nach Host B. Der Ping kann vom Host B erwidert werden. Im positiven Fall erkennen sie folgendes:

  • Der Host B antwortet
  • Wie lange das Netzwerk-Paket für die zurückgelegte Strecke benötigt hat. (Laufzeit)

Achtung: Damit ein Ping funktioniert, muss der Empfänger auf Port 7 antworten. Tut er das nicht, heißt das nicht, daß er nicht da ist. Vielmehr kann

  • Der Empfänger absichtlich nicht antworten
  • Etwa ein Firewall diese Form der Kommunikation unterbinden.

Bsp.:

Laufzeiten und Latenz messen mit "ping"

Laufzeiten und Latenz messen mit „ping“

Ping nach Hong-Kong (mit ca 300 ms eher lang)

 

Traceroute

Traceroute oder Tracepath ist die Ablaufverfolgung im Internet zwischen zwei Knoten. Dabei wird jeder einzelne Router aufgeführt, über den ein Datenpaket zwischen wandert.

Bsp:

traceroute to www.bild.de (92.123.92.75), 30 hops max, 60 byte packets

 (…)

10  a92-123-92-75.deploy.akamaitechnologies.com (92.123.92.75)  4.178 ms  4.301 ms  4.291 ms

Dabei werden nicht nur die Knoten-Namen bzw. deren IPs aufgeführt, sondern auch die Paketlaufzeit gemessen.

Beispiel unter Windows:

Traceroute unter Windows

Traceroute unter Windows

Wichtig: Traceroute zeigt nur den jeweiligen Weg auf. Ob ein bestimmter Netzwerk-Verkehr auf einem bestimmten Port auch wirklich funktioniert, beantwortet traceroute nicht.

Hinweis: Der Befehl heißt unter Windows „tracert“ und unter Linux „traceroute“

Traceroute Befehl unter Linux

Traceroute Befehl unter Linux

 

 

Nslookup

Nslookup beantwortet die Frage ob ein DNS-Name (bspw. www.bild.de) zu einer oder mehrerer IP-Adressen aufgelöst werden kann.

Bsp: nslookup www.bild.de

Beispiel für nslookup

Beispiel für nslookup

(1): der DNS Server der antwortet

(2) Nicht aurorisierende Antwort bedeutet: Der DNS_Dienst (1) hat selbst woanders nachgefragt

(3) Das Ergebnis: Die IP 92.122.30.140 ist die IP-Adresse von www.bild.de

Hinweis: Sie können mit dem Befehl nslookup auch andere DNS-Server als ihren gerade genutzten abfragen.

Syntax: nslookup <domain.tld> <anderer DNS>

Bsp.: nslookup bild.de 8.8.4.4

 

 

Dig (Linux)

Mit dig sind deutlich präzisere Abfragen als mit nslookup möglich. Allerdings nur unter Linux.

Syntax: dig <host/domain> Optionen

Bsp.: dig www.bild.de (s.o.)

Beispiel für "dig"

Beispiel für „dig“

Bsp 2.: dig bild.de MX

Damit wird erfragt, welche Hosts der Domain bild.de für den Mail-Versand verantwortlich sind.

MX = Mail Exchanger

MX Records erfragen mit "dig"

MX Records erfragen mit „dig“

  • Die Abfrage: dig bild.de MX
  • Die Antwort: mxa.asv.de. mit Prio 100 und mxb.asv.de mit Prio 200
  • Der antwortende DNS Server (hier 8.8.8.8)

Wenn Sie absichtlich einen anderen DNS-Server abfragen möchten:

Dig <query> @andererDNS

Bsp.: dig bild.de MX @8.8.4.4

Iperf – Performance im Netz

Um tatsächliche Bandbreiten und Performance im Netzwerk zu messen, eignet sich das Linux-Paket iperf.

Installation:

Centos: yum install iperf

Debian: apt install iperf

Auf System1 wird mit “iperf –s” ein Server-Dienst gestartet. Auf der Linux-Gegenstelle wird mit „iperf –c <system1>“ der Standard-Test ausgeführt. Dieser läuft im default 10 Sekunden und gibt Auskunft über die tatsächliche Bandbreite.

Standardmässig läuft der Test als tcp-Test. Optional kann auch mit UDP-Paketen getestet werden.

Iperf mit „iperf –s“ starten. Auf der Gegenstelle anschließend den tatsächlichen Test starten:

Bsp. (Labor): Es wurden 10 Sekunden lang Pakete übertragen. Insgesamt 7,45 GByte mit einer Geschwindigkeit von 6,4 Gbit/Sekunde.

Hinweis: Beide Geräte waren an einem 10GBit/s Switch angeschlossen.

Iperf - auch im heimischen LAN gut zu nutzen

Iperf – auch im heimischen LAN gut zu nutzen

Reales Performance-Beispiel im Internet:

Schritt1: Auf dem Server, der den iperf-Dienst startet, müssen zuerst alle blockierenden Dienste (fail2ban, iptables) deaktiviert werden:

/etc/init.d/monit stop;
/etc/init.d/fail2ban stop;
/etc/init.d/iptables stop;

Anschließend wird mit iperf –s der Dienst gestartet. Die Gegenstelle startet dann den Test:

Im konkreten Beispiel wurden in 10 Sekunden 16,6 MByte übertragen. Das entspricht denn einer Bandbreite von 13 Mbit/Ssekunde.

Mit "iperf" können Sie unter Linux die Geschwindigkeit im Netz messen

Mit „iperf“ können Sie unter Linux die Geschwindigkeit im Netz messen

 

Netzwerk-Scanner

Ein Netzwerkscanner identifiziert die gerade aktiven IP-Adressen in einem Netzwerk. Dies erfolgt in der Regel über einen Ping.

Achtung: Nur wenn der Host einen Ping auch erwidert – also auf dem Port auch Kommunikation zulässt – sehen Sie mit einem IP-Scanner ein Resultat.

Beispiele:

 

Portscanner

Mit einem Portscanner können Sie herausfinden, welche Ports bei einem Host überhaupt offen für eine Kommunikation sind.

Bsp.:

 

Wichtig: Sie können damit noch keinen Rückschluss daraus ziehen, wer ggf. die Kommunikation zum Host kontrolliert.

Das kann der Host selbst regeln oder eine Firewall dazwischen sein.