blowdow
Goto Top

Ping-Anfrage erkennen und loggen

Hi zusammen

Wie ich einen Ping absetze, das weiss ich zum Glück schon mal face-smile

Ab und an wird ja jeder mal ange-pingt. Gerne würde ich ein solcher Ping aber abfangen können. Als Beispiel; sobald mich jemand pingt, es dies bemerkt und dann loggt. Ob da der Absender (IP, Computername usw) geloggt werden kann, das weiss ich nicht. Es würde mir aber schon reichen, wenn es überhaupt festgestellt werden kann, ob mich jemand pingt. Demzufolge könnte ich einfach im Log schreiben (gepingt um Zeitpunkt...).

Gäbe es da vielleicht Tools, welche Ping-Anfragen erkennen und sogar loggen können? Oder, könnte man das sogar mit Bordmitteln bewerkstelligen (batch, vbs)?

Grüsse und danke schon mal.

blowdow

Content-ID: 234900

Url: https://administrator.de/contentid/234900

Ausgedruckt am: 14.11.2024 um 03:11 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 08.04.2014 aktualisiert um 22:30:27 Uhr
Goto Top
Zitat von @blowdow:

Gäbe es da vielleicht Tools, welche Ping-Anfragen erkennen und sogar loggen können?

Ja, nennen sich sniffer, wie z.B. Wireshark.

Oder, könnte man das sogar mit
Bordmitteln bewerkstelligen (batch, vbs)?

im prinzip schon, ist aber aufwendiger, als einfach mal den Wireshark anzuwerfen.

lks
LordGurke
LordGurke 08.04.2014 um 20:31:02 Uhr
Goto Top
Das kann man alles loggen. Das ist weniger eine Frage der Machbarkeit als eine Frage der verfügbaren Festspeicherkapazitäten face-wink
Wenn ich wirklich jeden Ping inkl. IPv4 / IPv6-Source-Adresse loggen würde, bräuchte ich ein Datacenter wie das der NSA...
blowdow
blowdow 08.04.2014 um 22:33:31 Uhr
Goto Top
nAbend

Danke euch für die Tips! Habe Wireshark gerade mal installiert und getestet. Klappt super. Muss mir nur noch mal einige Tage/Woche Zeit nehmen, wie ich den Export/Log genau haben möchte usw. Aber im Grossen und Ganzen genau das, was ich gesucht habe face-smile

Übrigens, schon krass was man da alles sieht, sofern man weiss, wie auswerten der Packete. Ohen SSL-Verschlüsselung im I-Net kann ich schön alle Passwörter mit Wireshark mitlesen. Dass das damit geht, wissen ja sowieso schon die meisten, denke ich. (ist ja halt ein Sniffin-Tool). Muss noch damit rumspielen, ist aber genau das Richtige!!

Danke und Gruss
aqui
aqui 09.04.2014 aktualisiert um 09:00:59 Uhr
Goto Top
Ob da der Absender (IP, Computername usw) geloggt werden kann, das weiss ich nicht.
Keine guten Voraussetzungen um sowas anzugehen !
Vielleicht solltest du dich dann erstmal über die Grundlagen schlau machen was Ping an sich ist.
Tip: Basiert auf dem ICMP Protokoll http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Aber nicht nur...
Es gibt auch einige Implementationen die auf TCP basieren.
Ein weiteres Tool ist arping das dies auch auf MAC Adress Basis rein mit Layer 2 erledigen kann:
http://mathieu.carbou.free.fr/wiki/index.php?title=How_to_compile_arpin ...
bzw. hier für die Unix Variante: http://www.habets.pp.se/synscan/programs.php?prog=arping

tcpdump ist ein weiteres Tool und nicht ganz so mächtig wie der Kabelhai was dir diese Pings in allen Facetten mitloggen kann. Und ja...natürlich kann man Computername und Absender da auch mit ausfindig machen. Ein kleines bischen Scripting vorausgesetzt.
Lochkartenstanzer
Lochkartenstanzer 09.04.2014 um 09:09:44 Uhr
Goto Top
Zitat von @blowdow:

Ohen SSL-Verschlüsselung im I-Net kann ich schön alle Passwörter mit Wireshark mitlesen.

Wichtig:

Solltest Du damit Verbindungen mitsniffen, die nicht aushschließlich von Dir initiiert sind, solltest Du alle Beteiligten davon in Kenntnis setzen. Ansonsten machst Du Dich u.U. strafbar.

lks
Lochkartenstanzer
Lochkartenstanzer 09.04.2014 aktualisiert um 09:12:32 Uhr
Goto Top
Zitat von @aqui:

tcpdump ist ein weiteres Tool und nicht ganz so mächtig wie der Kabelhai was dir diese Pings in allen Facetten mitloggen kann.

Ich finde tcpdump ist genausogut wie wireshark. Es hat halt nur keine so schöne GUI. Natürlich ist die grafische Aufbereitung durch Wireshark "nett", aber sofern man sich in seine Netzwerkprotokolle eingearbeitet hat, liefert auch tcpdump genug Informationen.

lks
aqui
aqui 09.04.2014 aktualisiert um 10:10:22 Uhr
Goto Top
Ohne Zweifel richtig !
Wenn der TO aber nur über Tag in einer kleinen Textdatei mitprotokollieren will wer von wo ihn anpingt ist ein kleines schlankeres Tool nur dafür einfacher als der Tausendsassa Wireshark face-wink
Lochkartenstanzer
Lochkartenstanzer 09.04.2014 aktualisiert um 09:20:50 Uhr
Goto Top
Zitat von @aqui:

Ohne Zweifel richtig !
Wenn der TO aber nur über Tag in einer kleinen Textdatei mitprotokollieren will wer von wo ihn anpingt ist ein kleines
schlankeres Tool nur dafür sinnvoller als der Tausendsassa Wireshark face-wink

Falls es nicht rauszulesen war: Ich nehme auch eher tcpdump (oder snoop unter solaris) als erstmal mich durch eine GUI klicken zu müssen.

lks
blowdow
blowdow 09.04.2014 um 12:46:28 Uhr
Goto Top
Zitat: "Solltest Du damit Verbindungen mitsniffen, die nicht aushschließlich von Dir initiiert sind, solltest Du alle Beteiligten davon in Kenntnis setzen. Ansonsten machst Du Dich u.U. strafbar"

Das ist mir durchaus bewusst, wo die Grenze der Legalität/Illegalität ist. Ich bin schon lange 18 gewesen, kann mir also illegales nicht mehr erlauben face-smile


Zitat: "Wenn der TO aber nur über Tag in einer kleinen Textdatei mitprotokollieren will wer von wo ihn anpingt ist ein kleines schlankeres Tool nur dafür einfacher als der Tausendsassa Wireshark"

Welches dieser schlanken Tools meinst du genau, mit welchem ich das bewerkstelligen könnte?
aqui
Lösung aqui 09.04.2014 aktualisiert um 13:57:57 Uhr
Goto Top
tcpdump
http://de.wikipedia.org/wiki/Tcpdump
oder hier im Kapitel "Ein bischen Analyse im LAN..."
Netzwerk Management Server mit Raspberry Pi
blowdow
blowdow 09.04.2014 um 13:58:17 Uhr
Goto Top
Dankeschööööööön!
Lochkartenstanzer
Lochkartenstanzer 09.04.2014 um 14:08:00 Uhr
Goto Top
Zitat von @blowdow:

Das ist mir durchaus bewusst, wo die Grenze der Legalität/Illegalität ist. Ich bin schon lange 18 gewesen, kann mir
also illegales nicht mehr erlauben face-smile

ich erwähnte das nur deswegen, weil hier manche sich eben dessen nicht bewußt sind, auch wenn sie schon lange Erwachsen zu sein glauben.face-smile

lks
blowdow
blowdow 11.04.2014 um 08:32:29 Uhr
Goto Top
Hätte noch eine kleine Folgefrage zu den obigen Tools;

Ich möchte gerne bei Eintreffen von vordefinierten Regeln eine Aktion ausgeführt. Heisst, wenn ich z.B. von einer bestimmten IP-Adresse ein bestimmtes Packet erhalten habe, mein Computer dann eine Aktion ausführt. Diese Aktion kann z.B. das Blockieren dieser IP sein, mein Computer runterfahren, ein cmd-Befehl ausführen usw...

... Oder haben diese Tools gar keine live-Kontrolle-und-bei-Regel-Eintreffen-dann-Aktion-ausführen - Funktion ? face-smile

Grüsse
aqui
aqui 11.04.2014 um 08:38:07 Uhr
Goto Top
Doch natürlich, aber das erfordert dann logischerweise ein Scripting, sei es mit Shell, Scripts oder was auch immer..
blowdow
blowdow 11.04.2014 um 09:05:18 Uhr
Goto Top
Wenn ich z.B. im WireShark oben die Laschen anschaue, finde ich leider keine solche Möglichkeit. Wüsstest du denn, unter welcher Option das versteckt ist? Dass mir im WireShark alles schön mit Filterung dargestellt wird, das klappt soweit bestens. Nur noch nicht, dass es eben eine Aktion bei eintreffen bestimmter Filterungen etwas ausgelöst wird (Script starten o.ä.).

Das selbe beim tcpdump face-sad Ich muss wohl mal zum Augenarzt face-smile
Alchimedes
Alchimedes 11.04.2014 um 20:15:06 Uhr
Goto Top
Hallo ,

Solltest Du damit Verbindungen mitsniffen, die nicht aushschließlich von Dir initiiert sind, solltest Du alle Beteiligten davon in Kenntnis setzen. Ansonsten machst Du Dich u.U. strafbar.

Nur dann wenn Wireshark auf dem Gateway ausgefuehrt wird. Local snifft der Kabelhai ja eh nur den schmutzt der ueber die Netzwerkarte luebbt.

Gruss