Kategorie Netzwerktechnik - Forum Tools
Das Übermitteln von Dateien mittels Wireshark erkennen
geschrieben am 16.06.2009 um 23:40 von subscriber
Hallo Freaks,
da ich noch ein absoluter Neuling was VoIp und Wireshark angeht, wollte ich fragen wie ich in den Logs ersehen kann, ob sich jemand eine Datei von meinem Rechner gezogen hat.
Müßte da eine "get" in der Info drinstehen und auch der Name der Datei ?
Wie kann man nach solchen Kriterien filtern ?
Oder ist das schlicht und einfach nicht möglich ?
Wäre nett wenn ich überhaupt eine Antwort bekommen würde.
Viele Grüße
geschrieben am 17.06.2009 um 08:26 von bewa
Re: Das Übermitteln von Dateien mittels Wireshark erkennen
da ich noch ein absoluter Neuling was VoIp und Wireshark angeht, wollte ich fragen wie ich in den Logs ersehen kann, ob sich jemand eine Datei von meinem Rechner gezogen hat.
Müßte da eine "get" in der Info drinstehen und auch der Name der Datei ?
Wie kann man nach solchen Kriterien filtern ?
Oder ist das schlicht und einfach nicht möglich ?
In der Theorie ist es möglich - in der Praxis schwierig. Zum einen kann die Übertragung einer Datei durch diverse Protokolle erfolgen. HTTP, FTP, diverse Torrent-Protokolle oder SMB/CIFS sind gängige Beispiele wie man Dateien übertragen kann. Manche Protokolle sind an sich schon ein Indiz dafür, das jemand versucht Dateien zu kopieren - anderen nicht (z.B. HTTP). Man müsste also ggfs. in jedes nicht grundsätzlich "verdächtige" Protokoll rein schauen, um zu sehen ob jemand Dateien überträgt.
Zum anderen kann die Übertragung dann aber auch noch innerhalb eines anderen Datenstroms oder verschlüsselt ablaufen. Dann wird es nochmal weitaus schwieriger, da man den Inhalt erstmal dekodieren und/oder entschlüsseln muss.
Richtig anstrengend wird es bei böswilliger Übertragung, da sich der Angreifer nunmal überhaupt nicht an die üblichen Gepflogenheiten (Protokolle, Kommuniktationsablauf) halten muss. Ob man dann überhaupt etwas findet, hängt im Wesentlichen davon ab, wie gut der Rechner gesichert war/ist, wie detalliert man sucht und wieviel Mühe sich der Angreifer gemacht hat.
Vielleicht formulierst du deine Frage ein bischen detaillierter - was möchtest du genau untersuchen/finden? Und was hat das mit VoIP zu tuen? :-))
geschrieben am 17.06.2009 um 12:08 von subscriber
Hallo bewa,
eigentlich hat es gar nichts spezielles mit VoIP zu tun, stimmt eigentlich.
Mein Problem ist, daß meine Fritz Box ein sehr hohes Upload Volumen anzeigt an manchen Tagen. Da ich überhaupt keine Dateien uploade, weiß ich nicht wie dies zu stande kommt.
Ein upload kann ja nur durch offene Ports erfolgen, oder ? WEnn ich mir die offenen ports mit netstat anzeige, dann könnte ich diese doch vielleicht mit Wireshark filtern lassen.
Leider hab ich null Ahnung wie ich das mit Wireshark filtern kann oder ob man da überhaupt nach offenen ports filtern kann.
Habe schon Gelichzeitig DU-Meter und Wireshark gleichzeitig laufen um zu sehen zu welcher Uhrzeit der Upload angestiegen ist um dann im Logfile von Wireshark nachzusehen was passiert ist.
Aber das Logfile von Wireshark ist so groß ( da ich keinen Filter einsetze), daß Wireshark irgendwann nicht mehr reagiert.
Ich wüßte aber auch nicht wonach ich suchen müßte.
Man kann ja nach ASCI Strings in den Datenpaketen suchen. Dort habe ich schonmal meine manuellen FTP Uploads in Wireshark mit gefunden.
Es kann doch nicht so schwer sein, su sehen wer sich was von meinem Rechner runterlädt. Das kann ein Betreiber von Webspace doch auch, oder ?
Ich gehe nicht von verschlüsselten Paketen wie z.B. VPN aus. Dazu müßte sich ja das entsprechende Programm auf meinem Rechner befinden ( Trojaner... usw).
Gibt es nicht ein einfaches Programm welches jedes kopieren von Dateien mitprotokolliert auf dem Computer. Ich weiß, das Symantec End Point Protection dies kann. Aber das Programm frißt unendlich Speicherplatz.
Im Grunde macht dies ja auch jeder Virenscanner, welcher alle Dateien beim kopieren untersucht. Bisher kenn ich aber nur den Symantec End Point Protection welcher Dateien auf Viren welche sich zwischen dem Rechner und dem LAN/WAN bewegen untersucht UND protokolliert.
Gibt es nicht ein einfacheres Tool dafür ( aber kein Virenschutzprogramm ). Nur ein Programm zum protokollieren von Dateien.
Mir ist klar, daß es Datenpakete sind, welche sich da bewegen ( soviel weiß ich gerade noch :-) ).
Aber wenn eine Datei übertragen wird, so muß man dies doch anhand eines bestimmten Datenpakets ersehen können. Oder etwa nicht ?
Viele Grüße
geschrieben am 20.06.2009 um 13:13 von bewa
Mein Problem ist, daß meine Fritz Box ein sehr hohes Upload Volumen anzeigt an manchen Tagen. Da ich überhaupt keine Dateien uploade, weiß ich nicht wie dies zu stande kommt.
Wieviele Rechner sind denn in dem Netz? Nur deiner? Dann wäre ein erster Schritt, einfach mal mitzuschneiden (z.B. Wireshark), was passiert, wenn du selber gerade nichts machst, sich also das "Grundrauschen" mal näher anzuschauen. Wenn das System sauber ist, dürfte nur wenig zu sehen sein. Wirklich intelligente Angriffstechniken findet man damit allerdings nicht.
WEnn ich mir die offenen ports mit netstat anzeige, dann könnte ich diese doch vielleicht mit Wireshark filtern lassen.
Das macht so keinen Sinn. Du brauchst nicht nur für Uploads, sondern für jede Kommunikation die eine Antwort erfordert einen "offenen" Port. Daher siehst du dann immer noch 90-95% der Aktivität deines Rechners.
Ich würde mir erstmal anschauen, welches Protokoll wieviel Kapazität belegt - dann kann man weiter nachprüfen. Zusätzlich sollte man sich anschauen, welche Verbindungen gar nicht "gewollt" sind, also gar nicht bewußt von dir geöffnet wurden. Aber nicht gleich erschrecken: Je weniger Erfahrung man damit hat, desto schneller gibt es auch "Fehlalarme", wenn man Verbindungen für verdächtig hält, die in Ordnung sind.
netstat ist übrigens zwar nicht schlecht, da es immer dabei ist und oft ausreicht, für detailliertere Infos würde ich unter Windows aber TCPView oder je nach Zweck ein anderes Sysinternals Tool nehmen:
http://technet.microsoft.com/de-de/sysinternals/bb842062(en-us).aspx
Habe schon Gelichzeitig DU-Meter und Wireshark gleichzeitig laufen um zu sehen zu welcher Uhrzeit der Upload angestiegen ist um dann im Logfile von Wireshark nachzusehen was passiert ist.
Dort habe ich schonmal meine manuellen FTP Uploads in Wireshark mit gefunden.
Dafür braucht man keine Klartext-Suche - es reicht, auf FTP zu filtern.
Hast du dir auch mal Mirkos Wireshark Tutorials hier auf der Homepage angeschaut?
Unter Windows ist übrigens Microsofts Network Monitor eine Alternative. Du kannst dir ja mal anschauen, ob du damit vielleicht besser klar kommst, als mit Wireshark. google müsste reichlich Infos dazu ausspucken.
Es kann doch nicht so schwer sein, su sehen wer sich was von meinem Rechner runterlädt.
Wenn du dir sicher bist, das da jemand etwas herunter lädt, muss ja erstmal ein Programm laufen, das die Daten ausliefert. Wenn der "Angriff" nicht sehr intelligent gemacht ist, läuft das Programm dauerhaft. Also einfach mal mit Process Explorer (Sysinternals) o.ä. schauen, welche Programme überhaupt Ports "offen" halten. Sich den Netzwerkverkehr anzuschauen, ist eher der zweite Schritt.
Das kann ein Betreiber von Webspace doch auch, oder ?
Klar - der schaut sich halt den HTTP-Traffic an. In den meisten Fällen hat er dafür aber Logfiles der WebServer, die bereits die nötigen Daten liefern.
Gibt es nicht ein einfaches Programm welches jedes kopieren von Dateien mitprotokolliert auf dem Computer. Ich weiß, das Symantec End Point Protection dies kann. Aber das Programm frißt unendlich Speicherplatz.
Und es entdeckt nur bestimmte Protokolle. Die meisten Intrusion Detection Systeme oder Data Loss Prevention Tools wie Endpoint Protection sind vielleicht besser als nichts, aber bei weitem nicht perfekt. Insbesondere DLP ist noch eher am Anfang, als perfekt.
Gibt es nicht ein einfacheres Tool dafür ( aber kein Virenschutzprogramm ). Nur ein Programm zum protokollieren von Dateien.
Grundsätzlich ja - aber das geht eben nur einfach, wenn der Angreifer so nett/doof ist, sich an bestimmte Gepflogenheiten zu halten, also die offensichtlichen Methoden zum Datentransfer und die Standardwerkzeuge zu verwenden.
Aber wenn eine Datei übertragen wird, so muß man dies doch anhand eines bestimmten Datenpakets ersehen können. Oder etwa nicht ?
Nein. Aus den schon beschriebenen Gründen eben nicht immer. Du kannst eine Datei z.B. FTP oder CIFS übertragen. FTP ist nur für Datentransfer da, wäre also ein eindeutiges Kriterium. CIFS macht schon nicht nur Kopiervorgänge, kann aber dafür genutzt werden. Spätestens bei HTTP ist das Protokoll kein Kriterium mehr - man macht eben damit viel mehr ("Surfen" im Netz) als nur Dateien übertragen.
[ Dieses Thema im Live-Forum aufrufen ]
|
