137756
Nov 06, 2018
1143
12
0
Forschungsarbeit: Abhören eines Datensenders auf unbekannte Datenströme
Einen wunderschönen guten Tag verehrte Administratoren, IT-Profis und Forschungskollegen,
ich habe eine -vermutlich eher dümmliche- aber ernstgemeinte Frage zum Thema Datenanalyse - diese aber am Ende meiner Ausführungen.
Ich bin derzeit in einem Forschungsprojekt, in dem ich eine sendende Einheit habe (hier bewusst nicht genauer definiert), dessen sende-Verhalten ich jedoch nicht kenne.
Es handelt sich um mir unbekannte Inhalte/Daten, die (soweit kann ich mit Sicherheit sprechen) per URI an eine Maschine übertragen werden. Weder kenne ich den angesprochenen Port noch andere Details über den genauen Wirkmechanismus. Ich kann die URI problemlos auf eine, von mir bereitgestellte, Maschine umleiten - und da beginnt das Problem.
Mir fehlt derzeit ein guter Ansatz die kommenden Daten auszulesen - und bitte hier um Hilfe um eben diesen Ansatz zu finden. Sollte die SuFu hier hilfreich sein, entschuldige ich mich mit der Begründung, dass ich nicht wüsste, wonach es zu suchen gilt.
Zu den rechtlichen Rahmenbedingungen:
- Die auszulesende Einheit ist Eigentum der Universität
- Die Daten aus der Einheit sind mit großer Sicherheit verschlüsselt (was nicht zu 100% klar ist, weil eben nicht ausgelesen)
- Die änderung der URI auf meinen Server hat keine weiteren Auswirkungen
- Die "Geheimnistuerei" kommt schlicht daher, dass es sich um ein Paper handelt das ich veröffentlichen möchte
- Auf ernstgemeinte Nachfrage stelle ich selbstverständlich Fakultät und Standort klar
Ich habe mich in diesem Zusammenhang bereits mit den Tools Wireshark, sowie TCP Dump und Netcat auseinandergesetzt, komme aber nicht auf den richtigen Trichter.
Bestenfalls kann ich alle Ströme "verstummen" lassen, mit Ausnahme von allem, was ich nicht identifizieren konnte. Also ein Ausschlussprinzip.
Die Forschungsfrage(n) lauten:
- Wie oft sendet die Einheit
- In welchem Format sendet die Einheit
- Welche Größe (fix oder var) haben die Daten
- Wie sind die Daten verschlüsselt (die Art reicht aus, ein Angriff auf die Verschlüsselung ist nicht nötig, da unwichtig für die Veröffentlichung)
Ich stehe noch am Anfang der Idee, hoffe aber dennoch meine Ausführungen konnte die Frage ausfüllen die wie folgt lautet:
Wie könnte ich mir unbekannte Daten(ströme), auf teil-unbekannten Wegen zwecks Analyse abfangen?
Beste Grüße, Dank im Voraus,
Bergfuchs
ich habe eine -vermutlich eher dümmliche- aber ernstgemeinte Frage zum Thema Datenanalyse - diese aber am Ende meiner Ausführungen.
Ich bin derzeit in einem Forschungsprojekt, in dem ich eine sendende Einheit habe (hier bewusst nicht genauer definiert), dessen sende-Verhalten ich jedoch nicht kenne.
Es handelt sich um mir unbekannte Inhalte/Daten, die (soweit kann ich mit Sicherheit sprechen) per URI an eine Maschine übertragen werden. Weder kenne ich den angesprochenen Port noch andere Details über den genauen Wirkmechanismus. Ich kann die URI problemlos auf eine, von mir bereitgestellte, Maschine umleiten - und da beginnt das Problem.
Mir fehlt derzeit ein guter Ansatz die kommenden Daten auszulesen - und bitte hier um Hilfe um eben diesen Ansatz zu finden. Sollte die SuFu hier hilfreich sein, entschuldige ich mich mit der Begründung, dass ich nicht wüsste, wonach es zu suchen gilt.
Zu den rechtlichen Rahmenbedingungen:
- Die auszulesende Einheit ist Eigentum der Universität
- Die Daten aus der Einheit sind mit großer Sicherheit verschlüsselt (was nicht zu 100% klar ist, weil eben nicht ausgelesen)
- Die änderung der URI auf meinen Server hat keine weiteren Auswirkungen
- Die "Geheimnistuerei" kommt schlicht daher, dass es sich um ein Paper handelt das ich veröffentlichen möchte
- Auf ernstgemeinte Nachfrage stelle ich selbstverständlich Fakultät und Standort klar
Ich habe mich in diesem Zusammenhang bereits mit den Tools Wireshark, sowie TCP Dump und Netcat auseinandergesetzt, komme aber nicht auf den richtigen Trichter.
Bestenfalls kann ich alle Ströme "verstummen" lassen, mit Ausnahme von allem, was ich nicht identifizieren konnte. Also ein Ausschlussprinzip.
Die Forschungsfrage(n) lauten:
- Wie oft sendet die Einheit
- In welchem Format sendet die Einheit
- Welche Größe (fix oder var) haben die Daten
- Wie sind die Daten verschlüsselt (die Art reicht aus, ein Angriff auf die Verschlüsselung ist nicht nötig, da unwichtig für die Veröffentlichung)
Ich stehe noch am Anfang der Idee, hoffe aber dennoch meine Ausführungen konnte die Frage ausfüllen die wie folgt lautet:
Wie könnte ich mir unbekannte Daten(ströme), auf teil-unbekannten Wegen zwecks Analyse abfangen?
Beste Grüße, Dank im Voraus,
Bergfuchs
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391773
Url: https://administrator.de/contentid/391773
Printed on: April 26, 2024 at 21:04 o'clock
12 Comments
Latest comment
Hallo Bergfuchs,
da gibt es ein Tolles Tool, nennt sich Wireshark.
LG
da gibt es ein Tolles Tool, nennt sich Wireshark.
LG
Hallo,
mal die rechtliche Seite außen vor...
Tools wie Wireshark sind hier schon die erste Wahl... wenn du mit Sicherheit davon ausgehen kannst das es sich um TCP/IP Pakete handelt.
Das sollte aber in einem Wireshark Dump nach ein paar Paketen klar erkennbar sein....
Den Dump zu interpetieren ist geradebei unbekannter Kommunikation eher schwierig aber da wirst du durch müssen....
Eventuell kannst du ja von den Dump mal einen Screenshot posten damit wir sehen könne wie dein Problem in der Praxis aussieht.
brammer
mal die rechtliche Seite außen vor...
Tools wie Wireshark sind hier schon die erste Wahl... wenn du mit Sicherheit davon ausgehen kannst das es sich um TCP/IP Pakete handelt.
Das sollte aber in einem Wireshark Dump nach ein paar Paketen klar erkennbar sein....
Den Dump zu interpetieren ist geradebei unbekannter Kommunikation eher schwierig aber da wirst du durch müssen....
Eventuell kannst du ja von den Dump mal einen Screenshot posten damit wir sehen könne wie dein Problem in der Praxis aussieht.
brammer
Hallo,
jeder Netzwerk-Sniffer oder -Analyser (in Hard- oder Software) zeichnet die Datenpakete auf einem Kommunikationskanal auf.
Wie @certifiedit.net schon schrieb: zB Wireshark
Die Frage ist nur, setzt du die richtigen Filter bei der Analyse der Aufzeichnungen, so dass die von dir gewünschten Informationen ermittelt werden können!
Jürgen
PS: URI kenne ich nur als schweizer Kanton. Oder meinst du "Uniform Resource Identifier"?
jeder Netzwerk-Sniffer oder -Analyser (in Hard- oder Software) zeichnet die Datenpakete auf einem Kommunikationskanal auf.
Wie @certifiedit.net schon schrieb: zB Wireshark
Die Frage ist nur, setzt du die richtigen Filter bei der Analyse der Aufzeichnungen, so dass die von dir gewünschten Informationen ermittelt werden können!
Jürgen
unbekannte Inhalte/Daten, die ........ per URI an eine Maschine übertragen werden.
PS: URI kenne ich nur als schweizer Kanton. Oder meinst du "Uniform Resource Identifier"?
Hallo,
das ist in der Tat eine gute Frage. Wireshark ist bereits im Einsatz, das sezten der Filter hingegen fällt mir darin (noch) schwer. Da es sich jedoch um den einigermaßen richtigen Weg zu handeln scheint, werde ich mein Augenmerk entsprechend darauf legen.
Schon einmal vielen Dank an die Kommentatoren.
Gruß,
Bergfurchs
das ist in der Tat eine gute Frage. Wireshark ist bereits im Einsatz, das sezten der Filter hingegen fällt mir darin (noch) schwer. Da es sich jedoch um den einigermaßen richtigen Weg zu handeln scheint, werde ich mein Augenmerk entsprechend darauf legen.
Schon einmal vielen Dank an die Kommentatoren.
Gruß,
Bergfurchs
Dann noch die Lösungen markieren und weiterhin viel Erfolg.
VG
VG
Hallo,
dann lass die Filter weg.
Und poste hier mal ein Teil des DUMP.
brammer
das sezten der Filter hingegen fällt mir darin (noch) schwer.
dann lass die Filter weg.
Und poste hier mal ein Teil des DUMP.
brammer
Die grundsätzliche Frage ist ja generell ob der TO mit der vagen Bezeichnung "Datenstrom" überhaupt einen Ethernet Netzwerk Datenstrom meint oder z.B. einen Datenstrom über ein Fiberchannel Storage Netzwerk ?! Oder ein ganz anderes Netzwerk...
Das ist so wischiwaschi das er das besser mal konkretisieren sollte bevor wir hier im freien Fall weiterraten.
Das ist so wischiwaschi das er das besser mal konkretisieren sollte bevor wir hier im freien Fall weiterraten.
Moin,
das Problem was du jetzt hast: Du fragst in einem öffentlichen Forum - da kannst du nicht ernsthaft auf Tipps zum abhören hoffen. Denn du SCHREIBST das du es darfst und das es eine Forschungsarbeit ist... Aber wirklich prüfen kann das keiner (selbst wenn du die Fakultät usw. angibst). Somit weiss hier keiner ob du es wirklich darfst oder ob du nen Script-Kiddy bist welches bei Starbucks versucht unsinn zu machen...
Entsprechend kann man dir nur die allgemeinen Tipps geben: Wireshark und schauen was du darüber siehst, das Gerät mal genau angucken (wenn du es darfst kannst du ja auch mal an der LAN-Schnittstelle des Gerätes horchen wenn es sowas hat), ggf. dich mal per mirror auf den Accesspoint / Switch hängen, das Gerät über deinen Laptop als Hotspot leiten...
Nur was du genau daraus machst musst du dann klären - wie gesagt, details wären in einem öffentlichen Forum eher unsinnig...
das Problem was du jetzt hast: Du fragst in einem öffentlichen Forum - da kannst du nicht ernsthaft auf Tipps zum abhören hoffen. Denn du SCHREIBST das du es darfst und das es eine Forschungsarbeit ist... Aber wirklich prüfen kann das keiner (selbst wenn du die Fakultät usw. angibst). Somit weiss hier keiner ob du es wirklich darfst oder ob du nen Script-Kiddy bist welches bei Starbucks versucht unsinn zu machen...
Entsprechend kann man dir nur die allgemeinen Tipps geben: Wireshark und schauen was du darüber siehst, das Gerät mal genau angucken (wenn du es darfst kannst du ja auch mal an der LAN-Schnittstelle des Gerätes horchen wenn es sowas hat), ggf. dich mal per mirror auf den Accesspoint / Switch hängen, das Gerät über deinen Laptop als Hotspot leiten...
Nur was du genau daraus machst musst du dann klären - wie gesagt, details wären in einem öffentlichen Forum eher unsinnig...
Na ja wenn man es darf und auch kann fragt ein normal intelligenter ITler nicht in einem Forum wie das geht... 
Wireshark, tcpdump, sFlow, NetFlow usw. sind auf alle Fälle der richtige Weg....sofern das denn wirklich Ethernet ist ?
Oder doch Fiberchannel ??
Wireshark, tcpdump, sFlow, NetFlow usw. sind auf alle Fälle der richtige Weg....sofern das denn wirklich Ethernet ist ?
Oder doch Fiberchannel ??
Vielleicht kannst du das mit Scapy umsetzen, siehe z.B: http://www.thice.nl/creating-ack-get-packets-with-scapy/
Zur Frage wie oft sendet die Einheit: siehe https://www.automox.com/blog/visualizing-network-data-using-python-part- ...
Ausserdem würde ich mit Burp ( oder anderem Proxy) die URI capturen und den Response anschauen.
Zur Frage wie oft sendet die Einheit: siehe https://www.automox.com/blog/visualizing-network-data-using-python-part- ...
Ausserdem würde ich mit Burp ( oder anderem Proxy) die URI capturen und den Response anschauen.
Die Frage aller Fragen: Von welchen Protokoll sprechen wir hier eigentlich? Vielleicht helfen dir die RFC´s weiter: https://tools.ietf.org/rfc/index
Wahrscheinlich um M2M, vielleicht CoAP? Dann musst du mit UDP arbeiten: http://coap.technology/
Wahrscheinlich um M2M, vielleicht CoAP? Dann musst du mit UDP arbeiten: http://coap.technology/
Von vermutlich ALLEM was irgendwie auf IP aufsetzt !! Sofern es Ethernet ist.
Oder eben doch Fiber Channel...?!?
Wer weiss..?
Oder eben doch Fiber Channel...?!?
Wer weiss..?