Alle LAN-Pakete eines Trace Files sind mit einem Timestamp versehen, der die Uhrzeit markiert, zu der das LAN-Paket aufgezeichnet wurde.
Die Zeitstempel dürfen nicht immer als reine Wahrheit angesehen werden.
Es gibt Einschränkungen in der Genauigkeit:
-1-
Es können sich Unterschiede ergeben je nach verwendeter Adapter-Karte (LAN-Interface) bzw. je Chipsatz und Treiber. Mal wird die Prüfsumme des MAC-Frames im Chipsatz des LAN-Adapters gerechnet, mal über die PC-CPU.
-2-
Auch die Auslastung des PCs und der PC-CPU insgesamt spielen eine Rolle.
Wird z.B. statt TEthereal/TShark über das GUI von Ethereal/Wireshark aufgezeichnet, kommt es zu erheblichen Verzögerungen und Paketverlusten, die nicht vorhersagbar sind.
Bei einem Trace-Capture via GUI würde es praktisch zwingend zu Timestamp-Differenzen..
-3-
Bei einem Trace-Capture via LAN-Adapter und Halb-Duplex-Link muss damit gerechnet werden, dass der Analyzer-PC aktiv ins Netz sendet und somit Leitungszeit auf dem Halb-Duplex-Anschluss belegt (beispielsweise für DNS/WINS-Namensauflösungen).
Bei einer Messung via Hub kann dies Kollisionen bringen und Paketverlust (eher unwahrscheinlich wegen der kurzen Kabellängen), bei einer Messung via Switch-Mirror-Port würde dies zu einer verzögerten Paket-Ausgabe des Switches in Richtung PC führen - und somit zu einer Veränderung des PC-Timestamps gegenüber der tatsächlichen Paket-Zeit im Switch bzw. auf der LAN-Leitung.
-4-
Bei Trace-Capture via Switch-Mirror-Port ist grundsätzlich der Timestamp mit Toleranz zu betrachten, da die Puffer-Auslastungen des Switches erheblich Einfluss auf das Zeitverhalten haben, was die Ausgabe des Packets zum LAN-Analyzer hin betrifft.
Selbst bei einem Wire-Tap lassen sich diese Effekte - je nach Bauart- nicht komplett ausschließen.
Mail
an die Online-Redaktion zum aktuellen Thema ("Zeitstempel").