7
Schadsoftware mit Wireshark aufspüren
Hallo Zusammen,
ich habe das Problem, dass ein Rechner in meinem Netzwerk zu unterschiedlichen Zeiten einen Angriff auf fremde Server versucht. Mein Internet-Provider teilte mir mit dass es sich bei diesen "Angriffen" um Einwahlversuche über Telnet/SSH handelt. Um heraus zu finden welcher PC die Probleme macht habe ich Wireshark in der Version 2.0.5 installiert. Leider füllen sich dabei die Protokolldateien so schnell dass sich nur ein begrenzter Zeitraum aufnehmen lässt. Um diese Datenflut zu reduzieren wollte ich nur die Dienste Telnet/SSH bzw. TCP Port 22/23 aufzeichnen. Trotz Studium verschieder Anleitungen, die sich auf eine ältere Wireshark-Version beziehen, ist es mir nicht gelungen einen Mitschneide-Filter zu erstellen. Kann mir jemand helfen?
Vielen Dank im Voraus
Ralf
ich habe das Problem, dass ein Rechner in meinem Netzwerk zu unterschiedlichen Zeiten einen Angriff auf fremde Server versucht. Mein Internet-Provider teilte mir mit dass es sich bei diesen "Angriffen" um Einwahlversuche über Telnet/SSH handelt. Um heraus zu finden welcher PC die Probleme macht habe ich Wireshark in der Version 2.0.5 installiert. Leider füllen sich dabei die Protokolldateien so schnell dass sich nur ein begrenzter Zeitraum aufnehmen lässt. Um diese Datenflut zu reduzieren wollte ich nur die Dienste Telnet/SSH bzw. TCP Port 22/23 aufzeichnen. Trotz Studium verschieder Anleitungen, die sich auf eine ältere Wireshark-Version beziehen, ist es mir nicht gelungen einen Mitschneide-Filter zu erstellen. Kann mir jemand helfen?
Vielen Dank im Voraus
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 313556
Url: https://administrator.de/contentid/313556
Printed on: April 25, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hallo,
der Mitschnitt ist immer alles was auf der überwachten Netzwerkkarte eingeht.
Danach kann man filtern was man angezeigt haben will.
Du kannst damit aber nur das System Checken auf dem der Wireshark installiert ist.
Geht es um ein Büronetzwek oder einen Rechner im RZ?
Im Büronetz hilft dir ggf einen Separater PC auf dem ntop installiert wird und ein Portmiror vom Netzwerkport des Defaultgateways auf den ntop Rechner weiter. (achtung Datenschutz)
Damit hast Du dann allen Trafik ins und vom Internet. Und bekommst dann auch mit wer da ssh ins Internet machen will, der nicht sollte.
Gruß
Chonta
der Mitschnitt ist immer alles was auf der überwachten Netzwerkkarte eingeht.
Danach kann man filtern was man angezeigt haben will.
Du kannst damit aber nur das System Checken auf dem der Wireshark installiert ist.
Geht es um ein Büronetzwek oder einen Rechner im RZ?
Im Büronetz hilft dir ggf einen Separater PC auf dem ntop installiert wird und ein Portmiror vom Netzwerkport des Defaultgateways auf den ntop Rechner weiter. (achtung Datenschutz)
Damit hast Du dann allen Trafik ins und vom Internet. Und bekommst dann auch mit wer da ssh ins Internet machen will, der nicht sollte.
Gruß
Chonta
moin,
Schon mal ins Wireshark-Wiki zum Thema CpatureFilters reingeschaut?
ein sollte es eigentlich tun
lks
Schon mal ins Wireshark-Wiki zum Thema CpatureFilters reingeschaut?
ein
dst port 23 or dst port 22lks
Hallo,
vielleicht verrätst du uns mal etwas mehr über deine Netzwerk Topologie und worauf du den Wireshark installiert hast.
Gruß
vielleicht verrätst du uns mal etwas mehr über deine Netzwerk Topologie und worauf du den Wireshark installiert hast.
Gruß
Wäre es nicht einfacher auf der Firewall eine Logging Option anzuwerfen und dort den Absender auszumachen?
Bzw. Wenn du das Ziel kennst dort zu horchen?
Bei Wireshark müsstest du dich halt irgenwo reinschalten wo du den ganzen Traffic mitschneiden kannst und da machen die meisten Laptops eh schlapp
Bzw. Wenn du das Ziel kennst dort zu horchen?
Bei Wireshark müsstest du dich halt irgenwo reinschalten wo du den ganzen Traffic mitschneiden kannst und da machen die meisten Laptops eh schlapp
Hi
was du brauchst ist kein Display Filter (Der nru die Ausgabe filtert) sondern ein Capture Filter (captured nur was zum Filter passt). Somit ist die Datenmenge kleiner
Statt Port 1433 gibst du 22 ein
LG
was du brauchst ist kein Display Filter (Der nru die Ausgabe filtert) sondern ein Capture Filter (captured nur was zum Filter passt). Somit ist die Datenmenge kleiner
Statt Port 1433 gibst du 22 ein
LG
Es handelt sich um eine sternförmige Topologie bei der alle Rechner mit einem Gigabit-Switch (Ethernet) verbunden sind. Zwischen Switch und dem Internet Router habe ich einen Hub geschaltet an dem der Windows-7-PC angeschlossen ist auf dem Wireshark läuft. Im Hub steckt also der Internet-Router und der Wireshark-PC. Dadurch werden alle Pakete erfasst und nicht "weggeswitcht".
Sehr gut, dann also nur noch einen Capture Filter setzen und gut ist!
Gruß
Gruß
