Kategorie Netzwerktechnik - Forum Tools
Wireshark
geschrieben am 23.07.2010 um 09:59 von lokiboy
Hallo,
Bin hier ganz neu und was Netzwerktechnik angeht noch ein Einsteiger.
Es geht um eine Allgemeine Frage zu Wireshark. Wie ist es eigentlich, wenn man durch den Sniffer erkennt, dass sich jemand mit dem Rechner verbindet, böswillig.
Was kann man dagegen tun um dies zu verhindern, ist eine blockierung der IP möglich ?
geschrieben am 25.07.2010 um 09:58 von Mirko
Verbindungen und Verbindungsversuche kann man schon erkennen. Du könntest zum Beispiel einen Filter auf TCP-Segmente mit gesetzten SYN-Flag (nur SYN) setzen. Damit siehst Du alle neuen TCP-Sessions. Ob diese Verbindungen allerdings "gut oder böse" sind kann Wireshark nicht entscheiden.
Solange dein PC allerdings hinter einen funktionieren NAT-Router hängt, sollte es keine Verbindungen aus dem Internet auf den PC geben.
Mirko
geschrieben am 26.07.2010 um 13:06 von Otaku19
hm, stellt sich dann die frage....angenommen man hat ein rootkit auf der Kiste, das versteckt sich ja recht gut, aber kann es seine ausgehenden Verbindungen auch vor Wireshark auf einem promiscuous Port verheimlichen ? ich rede jetzt natürlch davon Wireshark auf dem betroffenen Rechner laufen zu lassen ;)
geschrieben am 28.07.2010 um 06:08 von Mirko
Kommt sicher darauf an wo und wie sich das Rootkit ins Windows einhängt. Den Traffic vieler Schadprogramme sieht man ja sogar mit netstat. Vermutlich sind die Entwickler mehr an der Tarnung vor Virenscannern interessiert.
Mirko
[ Dieses Thema im Live-Forum aufrufen ]
|