Wireshark: Aufgelöste Adressen nicht nachvollziehbar
Hallo zusammen,
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84171226187
Url: https://administrator.de/contentid/84171226187
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Wie man eine Frage richtig stellt.
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
- Welche Adressen?
- Welche Hosts?
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
Man kann anhand der IP Nummer schon mal erahnen ob sie von Aussen (Internet) kommen oder von intern. Wenn sie von innen kommen, können gute Switche bereits anzeigen auf welchem Port sich der Rechner mit der IP Nummer befindet. Dann nur noch dem Kabel folgen.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenns im internen Netz ist kannste das ding anpingen, wenn du im selben Sbunet bist kannst dann in DOS mit:
listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
arp -a
listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
Der TO hat vermutlich auf ALLE anzeigen geklickt. Zumindestens bei den Mac Adressen, Well known Adressen und Funktionaladressen werden dann logischerweise im Default ALLE angezeigt die statisch irgendwelchen Funktionen, Ports oder Anwendungen zugewiesen sind egal ob sie im aktiven Trace vorkommen oder nicht. Z.B. Spanning Tree BPDU Adressen, Broadcast, CDP usw. Hier muss man entsprechend vorfiltern um nur das angezeigt zu bekommen was im aktiven Trace reinkommt wie z.B. .local Hostadressen vom mDNS usw.
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
Ja musst du. Diese IP ist ja nur eine Host IP die irgendein Client bei dir als Daten zu einem DNS Request auf den Hostnamen bekommen hat. Ob da dann überhaupt Daten hin geflossen sind ist eine andere Frage.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Wenn es das denn nun war...
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @Rainer117:
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
Stell das Capture-File doch mal bereit (per PN gerne auch wenn du willst) dann können wir es für dich final klären.
Gruß