9
Netzwerktraffic Filtern
Guten Morgen,
wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Es ist ein Windows Server 2012 R2, auf dem auch nur Domain Dienste laufen. Bis vor kurzem lief da noch ein DNS Updater (Da wir keine feste IP hatten).
Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.
Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Es gibt bestimmt welche und auch viele, aber ich suche ein effektives.
Gruß
Thomas
wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Es ist ein Windows Server 2012 R2, auf dem auch nur Domain Dienste laufen. Bis vor kurzem lief da noch ein DNS Updater (Da wir keine feste IP hatten).
Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.
Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Es gibt bestimmt welche und auch viele, aber ich suche ein effektives.
Gruß
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 310825
Url: https://administrator.de/contentid/310825
Printed on: April 24, 2024 at 16:04 o'clock
9 Comments
Latest comment
Wireshark -> https://www.wireshark.org/
Ggf. wäre es aber auch interessant zu hören, welche Firewall ihr in Verwendung habt.
Ggf. wäre es aber auch interessant zu hören, welche Firewall ihr in Verwendung habt.
Guten Morgen,
Vermutlich solltest Du auf der Firewall sehen können welcher Traffic vom DC blockiert wird. Danach solltest Du dann auf dem DC nachschauen welcher Prozess diesen Traffic erzeugt.
Zitat von @tomi93:
Guten Morgen,
wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Welchen Traffic und wohin soll der Traffic gehen?Guten Morgen,
wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Es ist ein Windows Server 2012 R2, auf dem auch nur Domain Dienste laufen. Bis vor kurzem lief da noch ein DNS Updater (Da wir keine feste IP hatten).
Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.
Wie äussert sich denn "das"Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.
Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Wireshark, aber wo willst Du denn nachverfolgen? Da wo gedroppt wird? Da wo gesendet wird?Es gibt bestimmt welche und auch viele, aber ich suche ein effektives.
Gruß
Thomas
Gruß
Thomas
Vermutlich solltest Du auf der Firewall sehen können welcher Traffic vom DC blockiert wird. Danach solltest Du dann auf dem DC nachschauen welcher Prozess diesen Traffic erzeugt.
Hi,
wir haben die Sophos UTM 9.
Hab auch gerade gesehen in den Logs (Brauch jetzt doch kein Tool) das folgende Seite aufgerufen wird:
cdn.searchtooknow.com
Folgendes gibt virustotal aus:
BitDefender Malware site
ESET Malware site
Fortinet Malware site
Jemand eine Idee warum die Seite aufgerufen wird, bzw welcher Dienst hierfür zuständig ist?
wir haben die Sophos UTM 9.
Hab auch gerade gesehen in den Logs (Brauch jetzt doch kein Tool) das folgende Seite aufgerufen wird:
cdn.searchtooknow.com
Folgendes gibt virustotal aus:
BitDefender Malware site
ESET Malware site
Fortinet Malware site
Jemand eine Idee warum die Seite aufgerufen wird, bzw welcher Dienst hierfür zuständig ist?
Moin,
ich war zu schnell mit der Hilfesuche hier, hätte vorher einen Blick in die Firewall werfen sollen.
Es äußert sich, in dem ich von der Firewall ständig Mails bekomme in denen die Info steht welcher Client versucht die Verbindung aufzubauen, aber nicht wohin.
Steht aber in meinem Beitrag oben.
Hier mal ein Eintrag der Firewall:
ich war zu schnell mit der Hilfesuche hier, hätte vorher einen Blick in die Firewall werfen sollen.
Es äußert sich, in dem ich von der Firewall ständig Mails bekomme in denen die Info steht welcher Client versucht die Verbindung aufzubauen, aber nicht wohin.
Steht aber in meinem Beitrag oben.
Hier mal ein Eintrag der Firewall:
Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Kennt eigentlich jeder....https://www.wireshark.org
Winblows Knechte können auch den Netzwerk Monitor verwenden:
https://www.microsoft.com/en-us/download/details.aspx?id=4865
...ist aber nur halb so gut wie der Wireshark.
Würde mal sagen:
https://malwaretips.com/blogs/ads-by-search-know-removal/
Übrigens: Dyndns kann die Sophos auch, da braucht man keine obskuren Clients auf Produktivsystemen installieren.
https://malwaretips.com/blogs/ads-by-search-know-removal/
Übrigens: Dyndns kann die Sophos auch, da braucht man keine obskuren Clients auf Produktivsystemen installieren.
Ja, bis vor kurzem hatten wir keine Feste IP, das hat sich jetzt aber auch geändert.
Die Firewall kam auch erst anfang März dazu.
Die Firewall kam auch erst anfang März dazu.
Hallo,
der DC ist die 192.168.70.200?
Ein DC ist DNS-Server und übernimmt für die Clients die Namensauflösun und ermittelt die IP zu diversen Webseiten.
Wenn jetzt in der Firewall ein Filter drin ist das Zugriffe auf die Seite nicht erlaubt ist...
Im DNS-Server kann man das Loggen einstellen, dann kann man nachverfolgen welcher Client welche Webseite öffnet.
In der Firewall kann man auch eine Regel erstlellen das der Dc immer eine Verbindung für DNS aufbauen darf.
Gruß
Chonta
der DC ist die 192.168.70.200?
Ein DC ist DNS-Server und übernimmt für die Clients die Namensauflösun und ermittelt die IP zu diversen Webseiten.
Wenn jetzt in der Firewall ein Filter drin ist das Zugriffe auf die Seite nicht erlaubt ist...
Im DNS-Server kann man das Loggen einstellen, dann kann man nachverfolgen welcher Client welche Webseite öffnet.
In der Firewall kann man auch eine Regel erstlellen das der Dc immer eine Verbindung für DNS aufbauen darf.
Gruß
Chonta
Bei der Sophos wird ja gerade der DNS-Traffic über die Advanced Threat Protection überwacht und die vorliegende Anfrage ausgefiltert.
Viel mehr sollte man sicherstellen, dass nur die DNS-Server auf den DCs DNS-Anfragen ins Internet absetzen dürfen.
Aber Du hast Recht mit dem DNS-Log. Natürlich muss die Maleware nicht auf dem DC laufen, sondern kann auf einem beliebigen Client laufen, der für die DNS-Auflösung den DC nutzt. Da hilft tatsächlich nur das DNS-Logging auf dem DC (oder ein aktuelles Softwareinventory, da die Maleware offenbar "deinstalliert" werden kann).
Viel mehr sollte man sicherstellen, dass nur die DNS-Server auf den DCs DNS-Anfragen ins Internet absetzen dürfen.
Aber Du hast Recht mit dem DNS-Log. Natürlich muss die Maleware nicht auf dem DC laufen, sondern kann auf einem beliebigen Client laufen, der für die DNS-Auflösung den DC nutzt. Da hilft tatsächlich nur das DNS-Logging auf dem DC (oder ein aktuelles Softwareinventory, da die Maleware offenbar "deinstalliert" werden kann).
