Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wireshark - Scannen nach Trafik (Virus?)

Frage Microsoft

Mitglied: Strahlemann-69

Strahlemann-69 (Level 1) - Jetzt verbinden

21.07.2009, aktualisiert 15:38 Uhr, 8386 Aufrufe, 4 Kommentare

Hallo an alle,

ich habe /hatte im Netzwerk einen Virus. Leider scheint sich noch irgendwo einer versteckt zu haben. Trendmicro oder Sophos finden nichts mehr.
Das Internet und das Netzwerk sind saulangsam geworden. (Bagle & Netsky fand ich schon)

Nun erzählte mir ein Bekannter, das man mit Wireshark den Überltäter, der evtl. das Netzwer belastet aufspüren kann.
Hat jemand eine Kurzanleitung wie ich eine IP-Range angeben kann, die dann über Nacht überwacht wird?

Von irgendeinem Rechner geht SPAM über Port 25 raus, nur ich find den Überltäter nicht.
Oder hat jemand eine andere Idee?

Aktuell ist am Router Port 25 nur für den Exchange freigegeben. Es müßte quasi ruhe herschen, aber das Problem besteht ja weiterhin.
Ich formuliere es mal vorsichtig: HIIIILFEEE!!!

Danke schon mal.
Gruß
Manfred
Mitglied: 45877
21.07.2009 um 15:46 Uhr
hallo,

Kannst nu nicht am Router sehen , welche Anfragen auf port 25 geblockt werden?
Ansonsten müsstest du halt wissen nach was du suchst, sonst wird es imho ziemlich schwierig mit
wireshark.
Bitte warten ..
Mitglied: harald21
21.07.2009 um 15:49 Uhr
Hallo,

in einem geswitchten Netzwerk hast du nur eingeschränkte Möglichkeiten mit Wireshark. Was sagt denn das Logging an der Firewall?

mfg
Harald
Bitte warten ..
Mitglied: aqui
21.07.2009 um 16:21 Uhr
Klemm einen kleinen 4 Port Hub (es muss ein Hub sein, kein Switch) zwischen Router und Netzwerk und daran schliesst du den Wireshark an.

Dann startest du den und gehst auf Capture -> Filter.
Hier filterst du die IP Adressrange und auch den Port TCP 25. Damit sieht der Wireshark dann nur noch TCP 25 Pakete aus deiner Range.
Details zum WIE findest du hier:
http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929

Das ist in 3 Minuten aufgesetzt und anhand der Quell IP Adressen hast du die Übeltäter dann im Handumdrehen.

Ohne Hub gibt es noch eine Lösung mit 2 Netzwerkkarten und einer Live Linux Boot CD wie z.B. der Backtrack Live Distro:
http://www.remote-exploit.org/backtrack.html
wo der Wireshark gleich mit drauf ist.
Mit etwas Handarbeit hast du dann einen Bootbaren Sniffer ohne Hub.

http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
Bitte warten ..
Mitglied: Strahlemann-69
22.07.2009 um 07:41 Uhr
Danke für die vielen Tipps!
Ich werd es die Tage ausprobieren.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
gelöst Wie am besten eingehende Bewerbermails nach Viren scannen? (14)

Frage von arsn86 zum Thema Sicherheitsgrundlagen ...

Server
Script zum Scannen von IP Netzen auf Rfp (4)

Frage von janosch12 zum Thema Server ...

Internet
What the CIA thinks of your anti-virus program (2)

Link von michi1983 zum Thema Internet ...

Netzwerke
gelöst Wireshark Übertragung Datei rekonstruieren (2)

Frage von H41mSh1C0R zum Thema Netzwerke ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(2)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (26)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Brauche Hilfe: Mit (schnellem) WLAN Strecke überbrücken (23)

Frage von pierrehansen zum Thema LAN, WAN, Wireless ...

Basic
Programmierung von Windows Programmen (10)

Frage von Ghost108 zum Thema Basic ...