mikepost
Goto Top

Wireshark nur Inbound Traffic aufzeichnen

Hallo

Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Ich habe einen Port Mirroring auf einem Switch konfgiuriert und sehe mehr Pakete von meinen PC, als von dem gesnifften Ports.
Hab schon verschiedene Sachen versucht Promiscous Mode ist aktiviert, etc.

Kann mir jemand helfen?

mfg
Mike

Content-Key: 387229

Url: https://administrator.de/contentid/387229

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.09.2018 aktualisiert um 13:01:26 Uhr
Goto Top
Zitat von @MikePost:

Kann mir jemand helfen?

Manual schon gelesen?

lks

Hint: Source oder Destination korrekt setzen:
 not ether src blala 
Mitglied: Pjordorf
Pjordorf 21.09.2018 um 13:14:40 Uhr
Goto Top
Hallo,

Zitat von @MikePost:
Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Gar nicht.

Ich habe einen Port Mirroring auf einem Switch konfgiuriert und sehe mehr Pakete von meinen PC, als von dem gesnifften Ports.
Aha, Port Mirror und da kannst du nicht Source / Destination auswählen/definieren?

Versuchen kannst du biel, wir aber nichts helfen.
Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.09.2018 um 13:41:49 Uhr
Goto Top
Zitat von @Pjordorf:

Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters


Die oben verlinkten Capture-Filter machen das, was der TO will.

lks
Mitglied: LordGurke
LordGurke 21.09.2018 um 14:50:04 Uhr
Goto Top
Schalte an der betroffenen Netzwerkkarte einfach alle Protokolle ab — dann generiert Windows einfach keinen Traffic darauf.
Mitglied: MikePost
MikePost 21.09.2018 um 17:50:18 Uhr
Goto Top
unter den Netzwerkeigenschaften alle häckchen raus, oder nur die für IPV4/6?
Mitglied: LordGurke
Lösung LordGurke 21.09.2018 um 17:53:48 Uhr
Goto Top
Zwangsweise sollten das alle sein — denn wenn du die IP-Protokolle deaktivierst funktionieren die anderen i.d.R. auch nicht mehr face-wink
Mitglied: MikePost
MikePost 21.09.2018 um 18:28:22 Uhr
Goto Top
super danke dir
ich versuche es...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.09.2018 aktualisiert um 18:39:36 Uhr
Goto Top
Zitat von @MikePost:

super danke dir
ich versuche es...

Du hättest auch einfach einen Capture-Filter setzen können.

Manche schrauben halt das ganze Auto auseinander, nur um den Ölfilter zu wechseln. face-smile

lks
Mitglied: aqui
aqui 21.09.2018 aktualisiert um 19:27:50 Uhr
Goto Top
Kollege LKS hat hier absolut Recht.
Ist doch sinnfrei an den NIC Settings unter Winblows zu frickeln wenn man das mit einem so simplen und einfachen Capture Filter auch hinbekommt mit not ether src xyz.
Wobei xyz hier die Mac Adresse der Netzwerkkarte ist die man ja nun mit ipconfig -all in Sekunden herausbekommt.
Aber heute ist ja Freitag...getreu dem Motto warum einfach machen wenn es umständlich auch geht face-wink

Case closed
Mitglied: LordGurke
LordGurke 21.09.2018 um 23:16:45 Uhr
Goto Top
Das Problem mit dem Filter ist, dass du unter Umständen (z.B. laufende VMs, bestimmte VPN-Software) weitere MAC-Adressen hast, die du dann auch filtern müsstest.
Und der garantiert funktionierende Weg ist, der Netzwerkkarte sämtliche Protokollbindungen zu entfernen — ab dann wird das Interface auch immer als "nicht verbunden" dargestellt und das Interface kann nur noch passiv im Promiscous Mode abgehört werden. Es wird aber kein ausgehender Traffic mehr darauf erzeugt.