Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
[Wireshark] Muss man den externen Traffic umleiten?

geschrieben am 09.05.2014 um 00:02 von Volker S

Hi,

ich habe gehört, dass man den Traffic eines anderen Gerätes im Netzwerk auf seinen lokalen PC per iptables im Router umleiten muss um das Monitoring/Captering des anderen Gerätes zu gewährleisten.

Wenn ich aber Wireshark starte (ohne diese Umleitung), sehe ich doch schon den Traffic des gesamten Netzwerk, obwohl ich doch eigentlich nur meine eigene Netzwerkkarte - und deren Traffic - sehen müsste.

Ergo brauche ich doch gar keine Umleitung aka:
/usr/sbin/iptables -t mangle -A POSTROUTING -d 192.168.1.15 -j ROUTE --tee --gw 192.168.1.10
/usr/sbin/iptables -t mangle -A PREROUTING -s 192.168.1.15 -j ROUTE --tee --gw 192.168.1.10

(15 ist mein Smart-Tv und 10 mein PC)

...es reicht doch auch innerhalb der Anzeige einen Filter a la:
ip.addr == 192.168.1.15
zu setzen, dann habe ich auch den Traffic Source/Destination vom 15ener?

-volker-
 

geschrieben am 12.05.2014 um 16:24 von Otaku19

du siehst jeglichen Traffic der bei deiner MAschine ankommt, das ist zb sehr viel Multi/Broadcast.

wenn aber deine Nachbarmaschine Unicast an deinem Sniffer PC vorbei macht, zb ins Internet, der traffic geht direkt an den Router und nie an deinen PC dann siehst du das nie. Außer man macht einen gespiegelten Port oder eben diese Umleitung
 

geschrieben am 12.05.2014 um 17:32 von Volker S

genau, das dachte ich auch. Aber jetzt pass mal auf was passiert, wenn ich die Umleitung und auch die geblockten LG-Serveradressen (mein Fernseher ist von LG) herausnehme.

Erstmal meine Firewall in meinem Router (wird nur noch eine Google-IP geblockt, keine Umleitung mehr, keine geblockten LG-IP_Adressen) -> Routereinstellung

...und nun die Unterhaltung von meinem geschwätzigen LG-Fernseher (192.168.1.15) an die LG-Server in Holland (193.67.216.36 und 193.67.216.51) -> Link

Nach Deinem (und auch nach meinem) Verständnis dürfte mein PC (192.168.1.10) diese Unterhaltung mit dieser Firewalleinstellung im Router doch gar nicht mitbekommen? Ergo brauche ich doch keine Umleitung?

Hardwareverteiler:
TV, Satreceiver, BluRay-Player gehen in einem dummen Switch

Routereingänge sind: Switch, mein PC, Bridge geschaltetes DSL-Modem

-volker-
 

geschrieben am 14.05.2014 um 14:08 von Otaku19

Hm, das ist seltsam, angenommen der dumme Switch wäre tatsächlich noch n Hub (was ich nicht glaube, ist ja sicher Gigabit, dumm steht hier wohl eher für nicht gemanaged) udn dein PC wäre auch dort angeschlossen, dann könnte man das sehen.
Du könntest im wireshark höchstens noch die L2 Felder anschauen und da sehen welche Destination MAC da drin steht, denn ich sehe hier zb nur traffic in der Richtung TV -> Internet, keine Antwortpakete.

Dann verlgeiche:
Router IP, MAC
PC IP, MAC
Pakete vom LG TV: IP,MAC


Andernfalls scheint es wohl eine Fehlfunktion des Routers bzw des integrierten Switches zu sein, sonst kann ich mir das nicht erklären. ich bin zwar kein iptables Spezialist, die 2 Zeilen lesen sich für mich aber nach dem block eines ranges und dem hideNAT Richtung Internet
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 19.10.2017