- Offizieller Beitrag
Hat schon mal jemand im Netz gesnifft ?
Sehe hier einen Haufen defekter Pakete . . . . . ist das normal ?
Netzwerk-Sniffer
-
-
- Offizieller Beitrag
Hast du ein Switch der Managebar ist?
Wenn ja schau mal da rein ob da I/O Errors auflaufen.gruß
-
- Offizieller Beitrag
Hi, auf einen " normalen " Switch kannst du nicht sniffen . . . .
Du brauchst entweder ein Aggregation TAP oder einen Switch mit SPAN-Port oder Monitor Port . . .
Wobei es da auch wieder unterschiede gibt . . . der Monitor Port bei den großen Netgears kann z.B. nicht alle Paket am
Monitor Port ausgeben . . . . also auch keine defekten . . .
Der Sinn besteht ja genau darin das man mal sieht was da durchs Netzwerk an Paketen saust . . .
das sind ja auch immer unterschiedliche Rechner die die defekten Pakete senden . -
- Offizieller Beitrag
Ich habe anscheinend doch mal einen Interessantem Netzwerk Sniffer gefunden:
Colasoft Free Network Analyzer
http://www.colasoft.com/download/products/capsa_free.php
Paket Analyse, Traffik Monitor . . . . .
-
- Offizieller Beitrag
Gibt es denn keinen der versucht auch Intern Angriffe aufzudecken ? ?
-
Hi
Ich habe auf meiner virtuellen Umgebung auch einiges an verdächtigem Traffic, ich habs in einem anderen Thread schon erwähnt,...
https://www.efw-forum.de/www/forum/view…mp;p=8333#p8333
Ich habe nun bei meinem ESXi versucht, einen Netsniffer (Whireshark auf 32Bit XP) an den jeweiligen vSwitch zu hängen. Leider kommt da aber nichts durch. Und wenn ich Whireshark auf dem kompromittierten Linux (früher XP) laufen lasse, komme ich innert kürzester Zeit auf eine riesen Arbeitsspeicherauslastung. Es geht um einen Angriff, der meinen TS Server missbraucht um P2P (edonkey) Verbindungen aufzubauen. Files werden aber offenbar nicht über die Verbindung verschoben.
Naja, wenn ich Whireshark 2 Tage aufm TS Server laufen lasse, ist der Arbeitsspeicher der VM voll (habe da testmässig mal 8 GByte zugewiesen). Endian Snort schlägt x-mal an, aber ich finde in dem Scan vom Whireshark die Verbindungen nicht, obwohl es im Filter einen extra Punkt für das edonkey Protokoll gibt.
Hat eine/einer nen Plan? Ein Virus ist es nicht, ich bin extra von XP auf Linux umgestiegen. Gleiches Resultat.
Wär eh nett, wenn ich einen Sniffer hätte, der nicht gleich alles in den Arbeitsspeicher schreibt. Und den ich dann in der virtuellen Umgebung einfach an einen vSwitch, bzw. eine IP stöpseln könnte. Ich habe leider viel zu viel Traffic, den ich nicht im Griff habe; uns das macht mich einigermassen - mehr oder weniger - paranoid! :geek::cry:
Zone zu gleicher Zone hatte ich natürlich aktiviert in der Inter Zone Firewall.
Greetz
Nico
-
- Offizieller Beitrag
Moin,
Whireshark ist mehr für eine kurzzeitige Messung, bei mir hängt sich das auch nach 2 Tagen auf . . .
Das schöne an Calasoft ( siehe oben ) ist das du das Tagelang laufen lassen kannst, auch wenn da leider der Speicher recht schnell voll läuft . . .
Das edonkey Protokoll sehe ich hier auch, obwohl hier keiner im Netzt mit dem schönen Programm sitzt . .Gruß Sabine
-
- Offizieller Beitrag
Hallo,
kann ja sein das nur ein anderes Programm den edonkey Port nutzen will
und deshalb die EFW da meint da kommt n edonkey und will saugen.http://www.snortid.com/snortid.asp?QueryId=4517
PC vielleicht mal prüfen welches Programm gerade auf den Port lauscht oder Sendet, gibts glaub ich bei den MS Tools.
Frank