Netzwerk-Sniffer

  • Hi, auf einen " normalen " Switch kannst du nicht sniffen . . . .
    Du brauchst entweder ein Aggregation TAP oder einen Switch mit SPAN-Port oder Monitor Port . . .
    Wobei es da auch wieder unterschiede gibt . . . der Monitor Port bei den großen Netgears kann z.B. nicht alle Paket am
    Monitor Port ausgeben . . . . also auch keine defekten . . .
    Der Sinn besteht ja genau darin das man mal sieht was da durchs Netzwerk an Paketen saust . . .
    das sind ja auch immer unterschiedliche Rechner die die defekten Pakete senden .

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hi


    Ich habe auf meiner virtuellen Umgebung auch einiges an verdächtigem Traffic, ich habs in einem anderen Thread schon erwähnt,...


    http://www.efw-forum.de/www/forum/viewtopic.php?f=74&t=1183&p=8333#p8333


    Ich habe nun bei meinem ESXi versucht, einen Netsniffer (Whireshark auf 32Bit XP) an den jeweiligen vSwitch zu hängen. Leider kommt da aber nichts durch. Und wenn ich Whireshark auf dem kompromittierten Linux (früher XP) laufen lasse, komme ich innert kürzester Zeit auf eine riesen Arbeitsspeicherauslastung. Es geht um einen Angriff, der meinen TS Server missbraucht um P2P (edonkey) Verbindungen aufzubauen. Files werden aber offenbar nicht über die Verbindung verschoben.


    Naja, wenn ich Whireshark 2 Tage aufm TS Server laufen lasse, ist der Arbeitsspeicher der VM voll (habe da testmässig mal 8 GByte zugewiesen). Endian Snort schlägt x-mal an, aber ich finde in dem Scan vom Whireshark die Verbindungen nicht, obwohl es im Filter einen extra Punkt für das edonkey Protokoll gibt.


    Hat eine/einer nen Plan? Ein Virus ist es nicht, ich bin extra von XP auf Linux umgestiegen. Gleiches Resultat.


    Wär eh nett, wenn ich einen Sniffer hätte, der nicht gleich alles in den Arbeitsspeicher schreibt. Und den ich dann in der virtuellen Umgebung einfach an einen vSwitch, bzw. eine IP stöpseln könnte. Ich habe leider viel zu viel Traffic, den ich nicht im Griff habe; uns das macht mich einigermassen - mehr oder weniger - paranoid! :geek::cry:


    Zone zu gleicher Zone hatte ich natürlich aktiviert in der Inter Zone Firewall.


    Greetz


    Nico

  • Moin,
    Whireshark ist mehr für eine kurzzeitige Messung, bei mir hängt sich das auch nach 2 Tagen auf . . .
    Das schöne an Calasoft ( siehe oben ) ist das du das Tagelang laufen lassen kannst, auch wenn da leider der Speicher recht schnell voll läuft . . .
    Das edonkey Protokoll sehe ich hier auch, obwohl hier keiner im Netzt mit dem schönen Programm sitzt . .


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hallo,
    kann ja sein das nur ein anderes Programm den edonkey Port nutzen will
    und deshalb die EFW da meint da kommt n edonkey und will saugen.


    http://www.snortid.com/snortid.asp?QueryId=4517


    PC vielleicht mal prüfen welches Programm gerade auf den Port lauscht oder Sendet, gibts glaub ich bei den MS Tools.


    Frank