mesaric
Goto Top

Port abhören (Malware Conficker)

Werte Profis face-smile,

ich benötige wieder einmal euren Rat.

Ich würde gerne ein gewisses Port bei unserem Server abhören und zwar ständig.

Wir haben von unserem Provider eine Meldung bekommen, dass auf einem der Rechner hinter unserem Internetanschluss eine Conficker Malware befindet. Da wir aber ca 500 PC da dran hängen haben würde ich gerne das Port, was uns der Provider mitgeteilt hat, abhören, da diese Verbindung offensichtlich nicht ständigt besteht.

Würde das mit netstat funktionieren?

zB. netstat >>Auswertung.txt ?

Oder hat jemand eine bessere Idee.

lg Ronny

Content-ID: 305297

Url: https://administrator.de/forum/port-abhoeren-malware-conficker-305297.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

kontext
Lösung kontext 25.05.2016 um 10:21:55 Uhr
Goto Top
Hallo @Mesaric,

bei 500 Clients werdet ihr wohl "hoffentlich" eine Firewall im Betrieb haben?
Hier würde ich dann einen Applikation Filter aktivieren der den Port filtert ...
... sobald dann was erkannt wird, hast du die Source-IP und kannst den betroffenen Client (hoffentlich nicht Server) checken.

Gruß
@kontext
Mesaric
Mesaric 25.05.2016 um 10:27:34 Uhr
Goto Top
Natürlich ist ne Firewall im Betrieb.

Das ist eine gute Idee. Vielen Dank.
aqui
Lösung aqui 25.05.2016 um 10:57:58 Uhr
Goto Top
Ansonsten einfach einen Mirror Port am Switch einrichten und den Port wo die Firewall / Router angeschlossen ist mirroren mit einem Wireshark oder Tshark oder minimal tcpdump.
Da bekommst du noch alles etwas detailierter.
Wenn du sFlow oder NetFlow fähige Switches hast würde es damit auch gehen die befallenen Geräte zu identifizieren:
Netzwerk Management Server mit Raspberry Pi
Raspberry Pi reicht dafür.
Mesaric
Mesaric 25.05.2016 um 11:06:46 Uhr
Goto Top
Vielen Dank.

Ich glaube ich habe das Problem eingrenzen können, da ich vorhin vom Provider noch ne Destination Adresse bekommen habe. Jetzt weiss ich schon mal, aus welchem Gebäude (Schule) der Maleware stammt ;).

lg Ronny
Matze1508
Lösung Matze1508 25.05.2016 um 11:11:44 Uhr
Goto Top
Ich habe zurzeit ein Projekt gestartet um das Netzwerk von meinem Betrieb zu scannen was man dafür brauch ist ein Portmirroring vom Switch oder die SNMP Einstellung beim Router.
Mit Wireshark ist das mit 500 PCs bisschen hart aber PRTG sollte funktionieren einfach mal die Trial ausprobieren.
Wobei bei PRTG brauch man das Mirroring gar nicht wenn du nur den Port haben willst.

Gruß,
Matze
Mesaric
Mesaric 25.05.2016 um 11:25:33 Uhr
Goto Top
Alles klar. Danke für die Hilfe
aqui
aqui 25.05.2016 um 15:49:03 Uhr
Goto Top
was man dafür brauch ist ein Portmirroring vom Switch oder die SNMP Einstellung beim Router.
Nein nicht ausschliesslich !
Wenn du sFlow oder NetFlow fähige Switches hast (HP, Cisco, Brocade etc.) kannst du diese Auswertung auch ganz einfach mit einem sFlow Kollektor machen.
Damit erübrigt sich dann ein Mirror Port vollständig.
Bei einer größeren Anzahl an zu überwachenden Ports ist die Flow Variante erheblich skalierbarer und besser !
PRTG ist aber auch sFlow fähig. Es gibt aber bessere und kostenlose Tools dafür.
Z.B. kann man über die kostenlosen sFlow Tools auf der Inmon Seite diese Flows als PCAP formatierte an Wireshark exportieren.
Damit sind dann auch 500 oder 5000 PC kein Problem mehr zu überwachen.
http://www.sflow.org/using_sflow/index.php
http://www.inmon.com/technology/index.php
http://www.inmon.com/products/sFlowTrend.php
Skyemugen
Skyemugen 25.05.2016 um 21:27:55 Uhr
Goto Top
Müsste die Firewall nicht etwas à la SNORT dabei haben, wo - je nach konfiguration und gewählter Regeln - derart Traffic nicht mindestens im Alarm auftaucht (optimalerweise geblockt wird)?
Wenn ich da an die zig Regeln bzlg. evtl. bot traffic denke, da müsste doch die ein oder andere greifen, meine ich.