Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Analisieren von einem Angriff mit Wireshark

geschrieben am 13.10.2011 um 22:40 von xsuni

Hallo,
Ich habe mich hier angemeldet weil ich ein paar Fragen hab zum Thema Wireshark (heute das erste mal „gesehen“)
bin Telekommunikations Student in Luxembourg und hier haben wir ein Fach „Sicherheit in offenen Netzen“.

Unser Prof. gab uns die Aufgabe einen Angriff auf einen Rechner zu analisieren,
dazu bekammen wir eine cap-Datei,
Wir sollten feststellen ob einer von den angegebenen IP-Adressen Angegriffen wurden, wenn ja, war er erfolgreich? Wie kam der Angreifer rein? Und was wurde gemacht bzw. verändert?
Und dann noch als Zusatzaufgabe: in der cap-Datei sind 47 Ip-Adressen drin, und wir sollen rausfinden welches Betriebsystem (und bei Linux auch noch den Kernel) sich dahinter versteckt. Die 2te Zusatzaufgabe war die runtergeladenen Datei zu öffnen und diese zu analisieren (etwas wurde uns dann auffallen).


Ich habe bis jetzt rausgefunden welche Adresse angegriffen wurde, das er von diesem Root wurde und als root eine Datei von einem FTP-Server runtergeladen hat, diese entpackt und installierte, er verschickt auch eine Email mit den Rechner-Daten an eine andere Adresse, ich bekamm dann auch noch heraus wie der Username und Passwort vom FTP-Server ist und dann auch nach das der Angriff über den Port 39168 geschah.

Dazu muss ich noch sagen, das ich die Daten durch zufall gefunden hab, gibt es da eine Vorgehensweise wie man das angeht? Und kann mir hier einer weiterhelfen? Wie ich vorgehen soll und den Rest rauszufinden?
Fals eine die Datei haben will, soll er mir bitte bescheid geben.

Liebe grüsse xsuni
 

geschrieben am 14.10.2011 um 13:29 von Otaku19

Lad die Datei mal hoch.

Das OS der Rechner kann man aber nur schwer rein aus einem capture rauslesen, da muss eben schon irgendein Hinweis wie eben root anmeldung oder so drin sein,angenommen da ist irgendein Usertraffic zu irgendeiner Applikation drin, kann man kaum erkennen welches OS darunter ist.

Ansonsten würd ich mir mal die Statistikfuntionen in Wireshark anschauen, wer hat mit wem kommuniziert, wenn man eine verdächtige Verbindung hat, dann reicht ein rechts klcik auf eine de betroffenen Zeilen und "follow tcp stream", da sieht man dann je nach protokoll nix - bis alles was sich getan hat.
Ich wüsste auch nciht wie ich bei einem capture rausfinden soll ob der traffic erwünscht ist oder nicht, diese fragestellugn ergibt sich ind er realen Welt doch garnicht
 

geschrieben am 16.10.2011 um 20:34 von xsuni

http://www.megaupload.com/?d=RI2B635G
bitte schön :)

wurde mich freuen wenn man mir helfen könnte :)
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019