Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Wireshark fehl-interpretation der Daten am Netz

geschrieben am 03.11.2009 um 08:39 von fredddd

Hallo,
ich habe ein kleines Netzwerk worin sich auch eine IP Kamera und einem NAS befinden. Die Kamera speichert auf dem NAS.
alles im privaten Addressbereich 192.168.x.x

internet zugang via UMTS d100 .

beim tracen meines Netzwerkes kam es ploetzlich zu einer 64.x.x.x IP die auf mein NAS zugreift (aber nur in Richtung NAS dh. als source) nie als Destination.

ok, Internet abgehaengt, siehe da , 64.x.x.x is immer noch ab u zu present aber nur in Richtung NAS.

kann es sein das Wireshark (auch etherape) diese Packete falsch anzeigt dh. die DATENPAKETE die von der Kamera kommen falsch interpretiert werden. (diese hat ein eigenes Datenformat)

Sind unterschiedlich als IP (fire ,upnp, etc. ) oder als unknown declariert

komisch hat auch eine MAC addresse die bei keinem meiner Netzwerk Devices finden konnte.

vielen Dank!
 

geschrieben am 03.11.2009 um 11:23 von Otaku19

evtl hilft dir ja:
http://standards.ieee.org/regauth/oui/index.shtml

da schmeisst du die erste Hälfte der MAC rein und schon hast du den Hersteller

Anscheinend meinst du mit tracen sniffern...ich weiß dann nur nicht wie du das vom PC aus machst da du ja ein geswitchtes Netz hast, das D100 kann sicher kein Portmirroring
 

geschrieben am 03.11.2009 um 12:53 von fredddd

Ja die MAC addresse hab ich nicht gefunden, werde es aber nochmal versuchen, danke fuer den Tip.

also Internet:umts d100 lankabel auf
switch-8-port =1port Lankabel PC (wireshark installiert)
dann 2port lankabel auf dlink switch (unmanaged) der hat die restlichen network devices.

Danke fuer deine Antwort!
 

geschrieben am 03.11.2009 um 13:36 von Otaku19

dann dürftest du bei dir nur broadcastmeldungen dieser unbekannten IP sehen, keinesfalls unicast von dieser IP ans NAS
 

geschrieben am 03.11.2009 um 13:59 von fredddd

das ist es was mich stutzig macht!
source 64.x.x.x (mac) destination nas ip fire xxxxxxxxxxx
source 64.x.x.x (mac) destination nas ip upnp xxxxxxxxxxx

hab leider keinen trace jetzt hier , mach ich dann von zuhause genauere angaben!

also wenn diese unbekannte IP ausserhalb ist muesste ich es sehen...unicast
haenge ja zwischendrinn oder?

is sie innerhalb muesste ich es nicht sehen so verstehe ich das .....broadcast

versteh das irgendwie nicht!

achja , habe gestern versucht UBUNTU PC auf 64.x.x.4 zu setzen mit netmask 255.255.255.0 und pingen, natuerlich host unreachable?

ausserhalb meines Netzes is es ein Provider in USA der diese IP besitzt!


wenn diese 64.x.x.x IP auftritt : besitze eine Mobotix Kamera, ueber deren Webinterface kann man die abgespeicherten Sequenzen ansehen, diese haben ein eigenes Format!
nehme an das diese Frames mit den Daten manchmal irrtuemlich falsch interpretiert werden. daher meine Frage! wie gesagt geht aber alles nur in Richtung NAS.

9869 1389.750003 64.6.1.3 192.168.1.245 IP Unknown (0x3f)
9868 1389.749798 64.6.1.3 192.168.1.240 IP SHIM6 header (0x3d)
9865 1388.940674 64.6.1.3 192.168.1.240 IP Unknown (0xfb)
9864 1388.940471 64.6.1.3 192.168.1.240 IP Unknown (0xf9)
9860 1385.202952 64.6.1.3 192.168.1.240 UDP Source port: 32784 Destination port: 0 [bad udp length 61341 > ip payload length]
9859 1385.202740 64.6.1.3 192.168.1.240 IP XNET (0x0f)

so schaut das aus?

10166 1525.888431 64.6.1.3 192.168.1.240 IP IATP (0x75)
10415 1726.508504 64.6.1.3 192.168.1.240 IP PIPE (0x83)
10416 1726.508714 64.6.1.3 192.168.1.240 IP Fibre Channel (0x85)
10418 1727.945682 64.6.1.3 192.168.1.240 IGRP Unknown version or opcode[malformed packet]
10419 1727.945909 64.6.1.3 192.168.1.240 IP Network Voice (0x0b)
10420 1728.224725 64.6.1.3 192.168.1.240 IP SCPS (0x69)
10421 1728.224931 64.6.1.3 192.168.1.240 IP Active Networks (0x6b)
10424 1733.231605 64.6.1.3 192.168.1.240 IP IPv6 no next header (0x3b)
10425 1733.231824 64.6.1.3 192.168.1.240 IP SHIM6 header (0x3d)
10427 1734.582432 64.6.1.3 192.168.1.240 IP SWIPE (0x35)
10604 2002.512517 64.6.1.3 192.168.1.240 IP Unknown (0xd3)

etc.

??? kann mir jemand helfen?
 

geschrieben am 03.11.2009 um 22:21 von Mirko

Um einen sinnvollen Trace mit Wireshark zu erzeugen brauchst Du einen Hub oder einen kleinen Tap. Am Switch bekommst Du nur die Broadcasts mit.

Von welcher MAC-Adresse kommen diese 64er Frames? Vom Router?

Mirko
 

geschrieben am 04.11.2009 um 08:11 von fredddd

Hi,
also die 64 weiss ich nicht wo sie herkommen:
Netzwerk vom letzten Trace:

Mobotix Cam 192.168.1.x
NAS Dns-323 192.168.1.x
dlink switch
pc mit wireshark 192.168.1.x
noch 2 windows PC aber ohne power am netz


das ist im prinzip alles!! dh. egal ob ich via umts und router huawei d100 im internet bin oder den d100 router komplett abkopple!!


ich habe schon das Interface des PC auf 64.6.1.4 netmask 255.255.255.0 gesetzt und ping versucht auf 64.6.1.3 , natuerlich nicht gefunden!
ist wie ein geist!

wie gesagt ich glaub es sind die daten von der mobotix camera welche interpretiert werden......nur sicher bin ich mir nicht!!

eines weiss ich : haette mir doch einen dlink switch der gemanaged werden kann kaufen sollen! ;-((

auf jeden Fall falls ich eine Loesung finde werde ich es hier posten!
 

geschrieben am 04.11.2009 um 11:56 von fredddd

Hi,
also Support von Mobotix sagt nur Cifs, smb, etc. wird verwendet sonst kein anderer Dienst.

jetzt steh ich noch mehr an ;-)) !!
 

geschrieben am 04.11.2009 um 12:48 von Otaku19

lade mal irgendwo so n cap hoch
 

geschrieben am 04.11.2009 um 20:52 von fredddd

Hi,
also hier mal der Abschluss:

habe mit meinem tki fast ethernet hub NUR NAS und CAM angeschlossen und meinen PC (Wireshark) Endeffekt : wieder 64.6.1.3 mit gleicher MAC zugriff auf mein NAS.

dachte mir ok, vielleicht spinnt mein PC (Wireshark)

Laptop mit Ubuntu 9.04 und Wireshark gegriffen 2 Sniffer: peng beide zeigen das gleiche an!

dann : nur Laptop auch hier das gleiche Ergebnis!

also jetzt geb ich auf!

Danke nochmal fuer Eure Hilfe!

thx
Fredddd

PS: habt ihr ein Tutorial ueber Cap-interpretationen und normalen Communication Flow?
 

geschrieben am 05.11.2009 um 21:59 von fredddd

da staunt der fachmann und der laie wundert sich

Hallo Leute,

so hab jetzt nochmal Messanordnung gemacht.
dh. hub, laptop , cam u nas

messung am laptop mit wireshark 64.x.x.x vorhanden!!
gleichzeitig mit tcpflow mitlaufen lassen , tja ...kein 64.x.x.x ????????????????????????
kann mir das jemand erklaeren?

thx
Fredddd
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019