12
Wireshark: Aufgelöste Adressen nicht nachvollziehbar
Hallo zusammen,
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84171226187
Url: https://administrator.de/contentid/84171226187
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Wie man eine Frage richtig stellt.
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
- Welche Adressen?
- Welche Hosts?
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
1
Naja, ich dachte die Frage wäre allgemeiner Natur, da sie mir schon mehrmals aufgefallen ist.
Gescannt habe ich sämtlichen Verkehr der von oder an eine MAC-Adresse geht (direkt am Router und nicht über Wireshark). Dann habe ich das Log in Wireshark eingelesen und z.B. gesehen, dass da eine externe IP auftaucht die ich halt nicht nachvollziehen kann...
Gescannt habe ich sämtlichen Verkehr der von oder an eine MAC-Adresse geht (direkt am Router und nicht über Wireshark). Dann habe ich das Log in Wireshark eingelesen und z.B. gesehen, dass da eine externe IP auftaucht die ich halt nicht nachvollziehen kann...
Man kann anhand der IP Nummer schon mal erahnen ob sie von Aussen (Internet) kommen oder von intern. Wenn sie von innen kommen, können gute Switche bereits anzeigen auf welchem Port sich der Rechner mit der IP Nummer befindet. Dann nur noch dem Kabel folgen.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenns im internen Netz ist kannste das ding anpingen, wenn du im selben Sbunet bist kannst dann in DOS mit:
listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
arp -a listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
Der TO hat vermutlich auf ALLE anzeigen geklickt. Zumindestens bei den Mac Adressen, Well known Adressen und Funktionaladressen werden dann logischerweise im Default ALLE angezeigt die statisch irgendwelchen Funktionen, Ports oder Anwendungen zugewiesen sind egal ob sie im aktiven Trace vorkommen oder nicht. Z.B. Spanning Tree BPDU Adressen, Broadcast, CDP usw. Hier muss man entsprechend vorfiltern um nur das angezeigt zu bekommen was im aktiven Trace reinkommt wie z.B. .local Hostadressen vom mDNS usw.
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
Moin zusammen,
vielen Dank für die Rückmeldungen. allerdings habe ich das so gar nicht gemeint...
Konkretes Beispiel:
In der Tabelle unter Statistiken -> aufgelöste Adressen taucht folgender Eintrag auf:
Wenn ich jetzt aber in meinem Mitschnitt direkt mit z.B. "ip.addr == 68.57.142.200" filtere, wird mir nichts angezeigt und ich wollte mir ja genau dieses Paket anschauen...
Mir ist schon klar, dass Comcast ein Kabelnetzbetreiber ist und das ganze unkritisch ist - aber darum geht es mir nicht. Ich verstehe nicht, wie ich das konkrete Paket dazu finden kann - muss ich anders filtern? Aber bei anderen gelisteten Hosts funktioniert es so...
VG und schönes WE
vielen Dank für die Rückmeldungen. allerdings habe ich das so gar nicht gemeint...
Konkretes Beispiel:
In der Tabelle unter Statistiken -> aufgelöste Adressen taucht folgender Eintrag auf:
Adresse Name
68.57.142.200 c-68-57-142-200.hsd1.al.comcast.netWenn ich jetzt aber in meinem Mitschnitt direkt mit z.B. "ip.addr == 68.57.142.200" filtere, wird mir nichts angezeigt und ich wollte mir ja genau dieses Paket anschauen...
Mir ist schon klar, dass Comcast ein Kabelnetzbetreiber ist und das ganze unkritisch ist - aber darum geht es mir nicht. Ich verstehe nicht, wie ich das konkrete Paket dazu finden kann - muss ich anders filtern? Aber bei anderen gelisteten Hosts funktioniert es so...
VG und schönes WE
Ja musst du. Diese IP ist ja nur eine Host IP die irgendein Client bei dir als Daten zu einem DNS Request auf den Hostnamen bekommen hat. Ob da dann überhaupt Daten hin geflossen sind ist eine andere Frage.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Danke für die Rückmeldung. Ich habe mir jetzt alle TCP/UPD 53 Pakete einzeln angesehen (es waren nur 8 Stück) aber in keinem taucht die gesuchte IP-Adresse im Inhalt auf.
Den Inhalt habe ich weiter durchsucht mittels
udp contains "c-68"
frame contains "c-68"
tcp contains "c-68"
Alternativ hatte ich den String auch mal mit "68." ausgetauscht - aber mir wird immer nichts angezeigt.
Mich würde ja tatsächlich dieses IP-Paket interessieren, wenn es in der Statistik steht, sollte es ja irgendwo auftauchen.
Sind bei WireShark standardmäßig irgendwelche Filter-Einstellungen gesetzt, die ich erst ändern muss?
Den Inhalt habe ich weiter durchsucht mittels
udp contains "c-68"
frame contains "c-68"
tcp contains "c-68"
Alternativ hatte ich den String auch mal mit "68." ausgetauscht - aber mir wird immer nichts angezeigt.
Mich würde ja tatsächlich dieses IP-Paket interessieren, wenn es in der Statistik steht, sollte es ja irgendwo auftauchen.
Sind bei WireShark standardmäßig irgendwelche Filter-Einstellungen gesetzt, die ich erst ändern muss?
Sind bei WireShark standardmäßig irgendwelche Filter-Einstellungen gesetzt, die ich erst ändern muss?
Nein!
Wenn es das denn nun war...
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
Zitat von @Rainer117:
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
Stell das Capture-File doch mal bereit (per PN gerne auch wenn du willst) dann können wir es für dich final klären.
Gruß
1
