spiky123
Goto Top

Schadsoftware mit Wireshark aufspüren

Hallo Zusammen,
ich habe das Problem, dass ein Rechner in meinem Netzwerk zu unterschiedlichen Zeiten einen Angriff auf fremde Server versucht. Mein Internet-Provider teilte mir mit dass es sich bei diesen "Angriffen" um Einwahlversuche über Telnet/SSH handelt. Um heraus zu finden welcher PC die Probleme macht habe ich Wireshark in der Version 2.0.5 installiert. Leider füllen sich dabei die Protokolldateien so schnell dass sich nur ein begrenzter Zeitraum aufnehmen lässt. Um diese Datenflut zu reduzieren wollte ich nur die Dienste Telnet/SSH bzw. TCP Port 22/23 aufzeichnen. Trotz Studium verschieder Anleitungen, die sich auf eine ältere Wireshark-Version beziehen, ist es mir nicht gelungen einen Mitschneide-Filter zu erstellen. Kann mir jemand helfen?

Vielen Dank im Voraus
Ralf

Content-ID: 313556

Url: https://administrator.de/forum/schadsoftware-mit-wireshark-aufspueren-313556.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

Chonta
Chonta 25.08.2016 um 14:38:49 Uhr
Goto Top
Hallo,

der Mitschnitt ist immer alles was auf der überwachten Netzwerkkarte eingeht.
Danach kann man filtern was man angezeigt haben will.
Du kannst damit aber nur das System Checken auf dem der Wireshark installiert ist.

Geht es um ein Büronetzwek oder einen Rechner im RZ?

Im Büronetz hilft dir ggf einen Separater PC auf dem ntop installiert wird und ein Portmiror vom Netzwerkport des Defaultgateways auf den ntop Rechner weiter. (achtung Datenschutz)
Damit hast Du dann allen Trafik ins und vom Internet. Und bekommst dann auch mit wer da ssh ins Internet machen will, der nicht sollte.

Gruß

Chonta
Lochkartenstanzer
Lösung Lochkartenstanzer 25.08.2016 aktualisiert um 16:29:14 Uhr
Goto Top
moin,

Schon mal ins Wireshark-Wiki zum Thema CpatureFilters reingeschaut?

ein
 dst port 23 or dst port 22
sollte es eigentlich tun


lks
michi1983
michi1983 25.08.2016 um 14:39:37 Uhr
Goto Top
Hallo,

vielleicht verrätst du uns mal etwas mehr über deine Netzwerk Topologie und worauf du den Wireshark installiert hast.

Gruß
pablovic
pablovic 25.08.2016 um 15:18:26 Uhr
Goto Top
Wäre es nicht einfacher auf der Firewall eine Logging Option anzuwerfen und dort den Absender auszumachen?
Bzw. Wenn du das Ziel kennst dort zu horchen?

Bei Wireshark müsstest du dich halt irgenwo reinschalten wo du den ganzen Traffic mitschneiden kannst und da machen die meisten Laptops eh schlapp
catachan
catachan 25.08.2016 um 15:52:42 Uhr
Goto Top
Hi

was du brauchst ist kein Display Filter (Der nru die Ausgabe filtert) sondern ein Capture Filter (captured nur was zum Filter passt). Somit ist die Datenmenge kleiner

2436_wireshark2

Statt Port 1433 gibst du 22 ein

LG
spiky123
spiky123 25.08.2016 um 16:21:56 Uhr
Goto Top
Es handelt sich um eine sternförmige Topologie bei der alle Rechner mit einem Gigabit-Switch (Ethernet) verbunden sind. Zwischen Switch und dem Internet Router habe ich einen Hub geschaltet an dem der Windows-7-PC angeschlossen ist auf dem Wireshark läuft. Im Hub steckt also der Internet-Router und der Wireshark-PC. Dadurch werden alle Pakete erfasst und nicht "weggeswitcht".
michi1983
Lösung michi1983 25.08.2016 um 16:23:44 Uhr
Goto Top
Sehr gut, dann also nur noch einen Capture Filter setzen und gut ist!

Gruß