Port abhören (Malware Conficker)
Werte Profis ,
ich benötige wieder einmal euren Rat.
Ich würde gerne ein gewisses Port bei unserem Server abhören und zwar ständig.
Wir haben von unserem Provider eine Meldung bekommen, dass auf einem der Rechner hinter unserem Internetanschluss eine Conficker Malware befindet. Da wir aber ca 500 PC da dran hängen haben würde ich gerne das Port, was uns der Provider mitgeteilt hat, abhören, da diese Verbindung offensichtlich nicht ständigt besteht.
Würde das mit netstat funktionieren?
zB. netstat >>Auswertung.txt ?
Oder hat jemand eine bessere Idee.
lg Ronny
ich benötige wieder einmal euren Rat.
Ich würde gerne ein gewisses Port bei unserem Server abhören und zwar ständig.
Wir haben von unserem Provider eine Meldung bekommen, dass auf einem der Rechner hinter unserem Internetanschluss eine Conficker Malware befindet. Da wir aber ca 500 PC da dran hängen haben würde ich gerne das Port, was uns der Provider mitgeteilt hat, abhören, da diese Verbindung offensichtlich nicht ständigt besteht.
Würde das mit netstat funktionieren?
zB. netstat >>Auswertung.txt ?
Oder hat jemand eine bessere Idee.
lg Ronny
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305297
Url: https://administrator.de/forum/port-abhoeren-malware-conficker-305297.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo @Mesaric,
bei 500 Clients werdet ihr wohl "hoffentlich" eine Firewall im Betrieb haben?
Hier würde ich dann einen Applikation Filter aktivieren der den Port filtert ...
... sobald dann was erkannt wird, hast du die Source-IP und kannst den betroffenen Client (hoffentlich nicht Server) checken.
Gruß
@kontext
bei 500 Clients werdet ihr wohl "hoffentlich" eine Firewall im Betrieb haben?
Hier würde ich dann einen Applikation Filter aktivieren der den Port filtert ...
... sobald dann was erkannt wird, hast du die Source-IP und kannst den betroffenen Client (hoffentlich nicht Server) checken.
Gruß
@kontext
Ansonsten einfach einen Mirror Port am Switch einrichten und den Port wo die Firewall / Router angeschlossen ist mirroren mit einem Wireshark oder Tshark oder minimal tcpdump.
Da bekommst du noch alles etwas detailierter.
Wenn du sFlow oder NetFlow fähige Switches hast würde es damit auch gehen die befallenen Geräte zu identifizieren:
Netzwerk Management Server mit Raspberry Pi
Raspberry Pi reicht dafür.
Da bekommst du noch alles etwas detailierter.
Wenn du sFlow oder NetFlow fähige Switches hast würde es damit auch gehen die befallenen Geräte zu identifizieren:
Netzwerk Management Server mit Raspberry Pi
Raspberry Pi reicht dafür.
Ich habe zurzeit ein Projekt gestartet um das Netzwerk von meinem Betrieb zu scannen was man dafür brauch ist ein Portmirroring vom Switch oder die SNMP Einstellung beim Router.
Mit Wireshark ist das mit 500 PCs bisschen hart aber PRTG sollte funktionieren einfach mal die Trial ausprobieren.
Wobei bei PRTG brauch man das Mirroring gar nicht wenn du nur den Port haben willst.
Gruß,
Matze
Mit Wireshark ist das mit 500 PCs bisschen hart aber PRTG sollte funktionieren einfach mal die Trial ausprobieren.
Wobei bei PRTG brauch man das Mirroring gar nicht wenn du nur den Port haben willst.
Gruß,
Matze
was man dafür brauch ist ein Portmirroring vom Switch oder die SNMP Einstellung beim Router.
Nein nicht ausschliesslich !Wenn du sFlow oder NetFlow fähige Switches hast (HP, Cisco, Brocade etc.) kannst du diese Auswertung auch ganz einfach mit einem sFlow Kollektor machen.
Damit erübrigt sich dann ein Mirror Port vollständig.
Bei einer größeren Anzahl an zu überwachenden Ports ist die Flow Variante erheblich skalierbarer und besser !
PRTG ist aber auch sFlow fähig. Es gibt aber bessere und kostenlose Tools dafür.
Z.B. kann man über die kostenlosen sFlow Tools auf der Inmon Seite diese Flows als PCAP formatierte an Wireshark exportieren.
Damit sind dann auch 500 oder 5000 PC kein Problem mehr zu überwachen.
http://www.sflow.org/using_sflow/index.php
http://www.inmon.com/technology/index.php
http://www.inmon.com/products/sFlowTrend.php
Müsste die Firewall nicht etwas à la SNORT dabei haben, wo - je nach konfiguration und gewählter Regeln - derart Traffic nicht mindestens im Alarm auftaucht (optimalerweise geblockt wird)?
Wenn ich da an die zig Regeln bzlg. evtl. bot traffic denke, da müsste doch die ein oder andere greifen, meine ich.
Wenn ich da an die zig Regeln bzlg. evtl. bot traffic denke, da müsste doch die ein oder andere greifen, meine ich.