gummix
Goto Top

Hilfe bei Wireshark

Hallo,
irgendwas im Netzwerk verursacht immer wieder Download und Upload traffic.
Jetzt habe ich gelesen, dass man das einfach mit wireshark analysieren kann.

Also habe ich mit der Fritzbox internen Software ein Stück mitgeschnitten (Menüpunkt "Internetverbindung") und das in Wireshark geladen.

Eine IP-Adresse kommt jetzt sehr häufig vor als TCP-grün, TCP-schwarz, UDB-blau.

Jedoch finde ich die IP Adresse nicht in der Fritzbox.
Und verstehe auch nicht so ganz was davon upload und download ist.

Ich habe zwar im Internet geschaut aber ne wirkliche anleitung für User ohne erfahrung in dem bereich finde ich jetzt auch nicht.

Ich hoffe ihr könnt mir da ein wenig helfen.

MfG.

Gummix

Content-Key: 301585

Url: https://administrator.de/contentid/301585

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: michi1983
michi1983 12.04.2016 um 20:42:54 Uhr
Goto Top
Hallo,

vielleicht bist du ja so nett und postest uns den Mitschnitt damit wir dir erklären können was es damit auf sich hat face-wink

Gruß
Mitglied: Gummix
Gummix 12.04.2016 aktualisiert um 20:49:50 Uhr
Goto Top
Ich wusste nicht in wieweit man dsa posten darf bezüglich Sicherheit etc.

Hier ein ausschnitt
https://goo.gl/photos/qNdLMSL2yBDH7nRp8

Ich finde weder eine der IP's noch eine der MAC's in der Fritzbox

Gruß
Mitglied: michi1983
michi1983 12.04.2016 um 20:54:36 Uhr
Goto Top
Bitte Fotos und Screenshots hier direkt über das Forum hochladen.

Alles was du als sensibel einstufst kannst du ja schwärzen.

Gruß
Mitglied: Gummix
Gummix 12.04.2016 um 20:57:43 Uhr
Goto Top
Ich würde ja IP's und MAC's als sensibel einstufen aber dann sieht man ja nichts mehr xD

Gruß
unbenannt
Mitglied: michi1983
michi1983 12.04.2016 um 21:01:47 Uhr
Goto Top
Okay so bringt das natürlich nichts face-wink
Das sind ja lokale IPs oder? Die sind eher nicht sensibel, denn die sind ja alle öffentlich bekannt und kann jeder für sich so verwenden.

Was möchtest du denn genau filtern?
Reinen Internet Traffic? Oder LAN Traffic?
Denn dafür kann man Filter setzen im Wireshark (Interfaces, Protokolle etc.)
Mitglied: Gummix
Gummix 12.04.2016 um 21:10:36 Uhr
Goto Top
Eigendlich möchte ich nur wissen wer oder was im Netzwerk den Traffic verursacht uns somit das Internet so langsam macht.
(Somit Internet Traffic?)

IP's sind immer die gleichen:
Source: 79.195.221.187
Destiantion 87.106.9.162

Die IP's in der Fritzbox sind alle 192......

Gruß
Mitglied: michi1983
michi1983 12.04.2016 um 21:15:11 Uhr
Goto Top
Ich weiß nicht wie das bei der Fritzbox ausschaut aber welches Interface loggt die? Das WAN Interface oder die LAN Interfaces?
Mitglied: Gummix
Gummix 12.04.2016 um 21:19:08 Uhr
Goto Top
Ich hatte jetzt die Internetverbindung mitgeschnitten, da ich dachte das der download ja aus dem Internet kommt.
Aber es gibt noch andere Möglichkeiten.

Gruß
unbenannt
Mitglied: LordGurke
Lösung LordGurke 12.04.2016 aktualisiert um 22:26:52 Uhr
Goto Top
Zitat von @Gummix:
IP's sind immer die gleichen:
Source: 79.195.221.187
Destiantion 87.106.9.162

Source ist eine IP von der Telekom (vermutlich du selbst), die Destination ist eine IP-Adresse von einem Server im Rechenzentrum von 1&1.
Wenn wir jetzt noch die Protokolle und Ports sehen könnten...

Am Besten machst du einmal folgendes:
Du sniffst den Traffic am INTERNEN Interface, damit du die internen IP-Adressen sehen kannst (das ist glaube ich das "Routing"-Interface) und machst einen Screenshot, der NICHT geschwärzt ist. Dann kann man da mehr zu sagen face-wink
Mitglied: Gummix
Gummix 12.04.2016 um 22:35:32 Uhr
Goto Top
Hier bitte.
Jetzt erkenne ich zumindest die IP Adressen.
Jetzt muss ich nurnoch rausfinden welche IP diesen Download und Upload verursacht und was normal ist.

Gruß
unbenannt
Mitglied: LordGurke
Lösung LordGurke 12.04.2016 aktualisiert um 22:51:48 Uhr
Goto Top
Du kannst den größten Trafficverursacher in Wireshark sehr leicht finden:
Wenn du den Capture offen hast, klickst du oben auf Statistics -> IPv4.
Daraufhin öffnet sich ein Fenster, wo du über die Spalten "Bytes <" oder "Bytes >" sortieren lassen kannst.
Damit erhältst du die IPv4-Adresse des Verursachers und kannst über die Client-Liste der FritzBox danach suchen.


Die 173.194.2.244 ist von Google, leider ohne genauere Angaben versehen.
Das verwendete QUIC-Protokoll wird soweit ich weiß momentan nur von Google Chrome und ggf. auch bestimmten Android-Apps von Google unterstützt.
Allerdings sieht der Ausschnitt nicht nach einem Upload aus (die Pakete haben nur 73 Bytes Länge von möglichen 1492), eher nach einem Download. Der IP nach sieht das nach einem Youtube-Video aus...

Bei Den grünen TCP-Verbindungen redet ein anderes lokales Gerät mit diversen Servern von Content-Delivery-Networks bzw. Amazon-Rechenzentren. Da kann man erstmal nichts genaues drin erkennen, sieht aber nach üblichem Traffic zu Werbenetzwerken aus die man sieht wenn Webseiten aufgerufen werden auf denen Werbebanner eingeblendet werden.
Mitglied: Gummix
Gummix 12.04.2016 um 23:03:24 Uhr
Goto Top
Ja, in dem fall war der hohe Traffic auch gerade wieder weg.
Es tritt immer nur sporadisch auf.

Aber jetzt weiß ich ja wie ich es testen kann.
Nur muss man über Statistiken>Verbindungen>IPv4 * 11 da rein.

Dann komme ich in folgnde Übersicht wo dann die 192.168.178.44 den meisten Traffic verursacht hätte.
(wenn ich das richtig verstehe)
unbenannt
Mitglied: michi1983
michi1983 13.04.2016 um 07:38:44 Uhr
Goto Top
Wenns das denn war, dann sei bitte so fair und markiere die Kommentare von @LordGurke welche dir geholfen haben und zur Lösung beigetragen haben face-wink Viel Erfolg noch!

Gruß
Mitglied: aqui
aqui 13.04.2016 um 08:55:35 Uhr
Goto Top
Eine gute Anleitung zur Bedienung und Interpretation des Kabelhais findest du hier:
http://www.heise.de/netze/artikel/Fehler-erschnueffeln-221587.html
Mitglied: Gummix
Gummix 13.04.2016 um 19:27:08 Uhr
Goto Top
Die Anleitung kannte ich schon, aber für mich als Anfänger im Bereich meiner Frage war es nicht Hilfreich.

Gruß
Mitglied: Gummix
Gummix 13.04.2016 um 19:28:03 Uhr
Goto Top
Ja, wollte ich eh noch machen.
Habe ich das den so richtig verstanden?

Gruß
Mitglied: aqui
aqui 15.04.2016 um 09:40:35 Uhr
Goto Top
aber für mich als Anfänger im Bereich meiner Frage war es nicht Hilfreich.
Warum war das denn nicht hilfreich ?? Besser kann man es eigentlich Laien nicht erklären....
Habe ich das den(n) so richtig verstanden?
Was denn ?