Kategorie Netzwerktechnik - Forum Tools
Wireshark- konkrete Auswertung?
geschrieben am 27.03.2009 um 00:24 von infoz
Hallo an alle erstmal im Forum!
Bin neu hier und würde mich über Info Eurerseits echt freuen. Hab schon rumgegoogelt und jetzt sind noch mehr Fragen wie vorher enstanden.
Mein Grundgedanke war der, dass ich gerne wissen möchte was konkret an Informationen von meinem Rechner an wen geht. (also eine Traffic-Auswertung). Nachdem ich im Net recherchierte bin ich durch andere Foren auf Wireshark aufmerksam geworden, da dort angeführt wurde, dass man damit den Traffic auswerten könnte.
Ich würde gerne Mal für 24 h den Rechner eingeschränkt nutzen (also nur mit weniger Traffic-Aufkommen) und dann sehen wollen, an wen so Daten von mir rausgehen. (Bzw. ob da Daten irgendwohin rausgehen wo sie nicht hinsollen theoretisch).
Jetzt meine Frage: Hab mir zwar das Tutorial angesehen, da ich aber nicht der Oberwiffzack bin was Technik angeht, weiß ich jetzt immer noch nicht ob das mit WS überhaupt geht?
Danke schon Mal im Voraus für Eure Antwort
geschrieben am 27.03.2009 um 06:44 von Mirko
Genau das macht Wireshark. In der Aufzeichnung kannst Du alle Kommunikationsbeziehungen und auch deren Inhalt sehen. Mittels DNS und Whois kannst Du auch sehen, wem die IP-Adressen gehören.
Mirko
geschrieben am 27.03.2009 um 13:48 von Otaku19
allerdings wird selbst ein "ruhiger" Rechner über 24h riesige capture Files erzeugen, die sollte man dann am besten schon im vorraus filtern...dazu muss man allerdings wissen wie man mit Wireshark umgeht und nach was man denn jetzt sucht.
Lass einfach mal nur beim surfen Wireshark mitlaufenudn da siehst du schon was alleind afür alles über die Leitung saust...wenn man dann vielleicht noch p2p mitreinnimmt wirds schnell unübersichtlich
geschrieben am 27.03.2009 um 16:07 von infoz
Danke an euch beide für die Rückmeldung.
@Mirko - freut mich, dass ich anscheinend doch richtig lag mit meiner Ansicht bzgl. WS und was es kann - denn es scheint ja genau das zu können was ich eigentlich vorhatte zu tun. Jetzt muß ich nur noch rausfinden wie ..
@Otkau19 - Ja es stimmt, daß das wahrscheinlich ein ziemlich riesiger file wird - gleich nach der Installation ließ ich es mal ne halbe Std. laufen und war beeindruckt von der Maße an Kommunikation.
Zum leichteren Verständnis meiner Absichten:
Mich wundert es einfach nur wie oft mein Rechner sich mit dem Net verbindet (sehe Traffic durch die Firewall- Zonea.pro) - ist allerdings nicht die Software, die ist umgestellt auf min.update also max.1 x tägl. und Windoof updates sind es auch nicht, denn da ändert sich ein Benachrichtigungseichen, also wollt ich einfach wissen, was denn wohin da vielleicht "telefoniert"? ..und bin nicht paranoid - NUR allgeimein mehr interessiert an den Dingen die ich benutze! g*
Aber jetzt nochmal zur Auswertung, was mein eigentliches Anliegen war, wenn ich den Inhalt der Kommunikationsbeziehungen doch Auswerten kann, anhand welcher Option würde das denn geheh? Hab mir die Tutorials zwar durchgelesen- glaube aber nicht da etwas entdeckt zu haben diesbezügl. - oder hab ich da was nicht gecheckt?
geschrieben am 28.03.2009 um 16:59 von Mirko
Du siehst ja im Frame Summary die IP-Adressen aller Kommunikationspartner. Dann musst du dir alle fraglichen Verbindungen ansehen. Mit wem wurde kommuniziert (IP, DNS-Name, whois), welches Protokoll (TCP, UDP), welche Dienste (Portnummern) und was wurde übertragen.
Lasse Wireshark doch mal auf dem "inaktiven" PC etwas laufen und sieh dir den Traffic an.
Mirko
geschrieben am 30.03.2009 um 14:09 von Otaku19
evtl. wäre sowas: http://www.itsamples.com/software/tcp.html dann einfacher in der Handhabung.
Wobei ich nicht weiß obs da was gibt das auch mitloggt, könnte sonst öd werden stundenlang vorm Rechner zu sitzen und auf einen Verbindungsaufbau zu warten. Und ich weiß nicht ob einem da nicht ein evtl. vorhandenes Rootkit nicht leicht durch die Lappen geht. Würde ich dann aber auch eher mit spezialiserten Tools aufdecken als das ich mir Captures ansehe.
geschrieben am 30.03.2009 um 15:38 von infoz
hi Mirko,
danke für die Info, allerdings konnte ich mir das nach dem ich die Tuts durchging auch zusammenreimen. Mein Problem allerdings wie zuvor beschrieben ist, dass ich absolut keine Ahnung habe, bezügl. der Auswertung,- sprich was den Inhalt einer mögl. Kommunikation angeht. Denn in der dritten Spalte habe ich ja nur die Codierung- aber wie verwandelt man das in Klartext, so dass man sieht was da an Information versendet wurde?? Danke im Voraus
@otaku: danke auch Dir für deine Bemühung: TCP-Monitor ist meines wissens nach nur dafür gut um zu sehn mit wem Verbindungen aufgebaut werden (ähnlich der Progs Active Ports oder TcpView welche ich eine Zeitlang nutze. Da sah ich dass ziemlich viele Verbindungen aufgebaut werden und wollte dann auch wissen - was konkret an Daten möglicherweise verschickt wird) Darum auch mein Griff zu WS. - Aber trotzdem danke für den Versuch.
geschrieben am 30.03.2009 um 16:54 von Otaku19
den INhalt eines Pakets kann eignetlich nur die zuständige Applikation entschlüsseln :) Da hilft dir Wireshark nicht viel weiter, da müsste man sich den Payload von zig Paketen genau anschauen.
Da ist man oft schneller dran zu identifizieren welche Applikationen da irgendwas im Netz tun ohne das man weiß warum sie es tun, dann mal per Firewall blocken und gucken ob die Applikation noch normal weiter funktioniert wie sie soll. Werden aber im Normalfall einfach Updateroutinen sein. ist ja bei so gut wie jedem Programm default eingstellt das bei jedem Start/alle 7 Tage etc. nach einem Update gesucht wird.
Es gibt keine Möglichkeit direkt aus ein paar Paketen abzuleiten was da übertragen wurde, von einfachen Protokollen wie DHCP oder abgesehen.
geschrieben am 08.04.2009 um 01:49 von infoz
sorry für die späte Meldung, aber war beruflich auf Achse.
Danke Otaktu für deine Info, aber jetzt bin ich etwas verwirrt, denn du meinst WS wäre nicht geeignet für die Entschlüsselung der Daten? Ist da jemand anders auch noch der Meinung oder geht das jetzt wirklich nicht mit WireShark, - dann wär ich nämlich wieder genau da wo ich war als ich meinen ersten Eintrag machte
Danke im voraus
geschrieben am 08.04.2009 um 08:27 von Otaku19
na schau dir doch einfach mal den Payload eines Pakets an, das ist schon bei Klartextübertragungen einfacher Protokolle nicht wirklich übersichtlich. Hab mir mal Passwörter von Telnet Sessions rausgezogen, das hab ich auch nur gefunden weil ich wusste wie das Passwort lautet (habs ja selbst eingetippt)
Wenn dann Applikationen miteinander kommunizieren ist in Sachen "mal eben Payload analysieren" der Ofen aus, da gibts dann evtl. eine Komprimierung oder Verschlüsselung was das ganze dann so ziemlich unmöglich macht.
geschrieben am 09.04.2009 um 10:08 von bewa
na schau dir doch einfach mal den Payload eines Pakets an, das ist schon bei Klartextübertragungen einfacher Protokolle nicht wirklich übersichtlich.
Das klappt eben immer nur dann brauchbar, wenn es für diese Daten bzw. dieses Protokoll einen Dissector gibt. Die sind in Wireshark dafür zuständig, Rohdaten so zu zerlegen, das sie für den Menschen gut lesbar sind - so wie z.B. der IP-Dissector anzeigt, welche IPs/Ports miteinander kommunizieren. Ist kein Dissector vorhanden, sieht man eben nur die rohen Daten - die dann wie hier schon erwähnt wurde u.U. auch noch komprimiert oder verschlüsselt sind.
Wenn häufig ein bestimmtes Protokoll analysiert wird, für das es noch keinen Dissector gibt, kann es überlegenswert sein, selbst einen zu schreiben. Die Schnittstellen in C und LUA sind sehr gut im Wireshark-Wiki dokumentiert. Ob der Aufwand lohnt, muss man im Einzelfall entscheiden. Ich musste es vor einigen Jahren im Studium mal für ein Protokoll machen, das nur zu Ausbildungszwecken existiert. War insgesamt einfacher als befürchtet und ein gutes Training um zu verstehen, wie Wireshark arbeitet.
[ Dieses Thema im Live-Forum aufrufen ]
| 
