rainer117
Goto Top

Wireshark: Aufgelöste Adressen nicht nachvollziehbar

Hallo zusammen,

ich habe mal eine Anfängerfrage zu Wireshark:

Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).

Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...

Danke für eine kurze Rückmeldung.

Beste Grüße
Rainer

Content-ID: 84171226187

Url: https://administrator.de/contentid/84171226187

Ausgedruckt am: 25.11.2024 um 07:11 Uhr

Penny.Cilin
Penny.Cilin 03.05.2024 um 12:40:45 Uhr
Goto Top
Wie man eine Frage richtig stellt.
  • Welche Adressen?
  • Welche Hosts?

Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.

Gruss Penny.
Rainer117
Rainer117 03.05.2024 um 12:54:29 Uhr
Goto Top
Naja, ich dachte die Frage wäre allgemeiner Natur, da sie mir schon mehrmals aufgefallen ist.

Gescannt habe ich sämtlichen Verkehr der von oder an eine MAC-Adresse geht (direkt am Router und nicht über Wireshark). Dann habe ich das Log in Wireshark eingelesen und z.B. gesehen, dass da eine externe IP auftaucht die ich halt nicht nachvollziehen kann...
NordicMike
NordicMike 03.05.2024 aktualisiert um 14:15:25 Uhr
Goto Top
Man kann anhand der IP Nummer schon mal erahnen ob sie von Aussen (Internet) kommen oder von intern. Wenn sie von innen kommen, können gute Switche bereits anzeigen auf welchem Port sich der Rechner mit der IP Nummer befindet. Dann nur noch dem Kabel folgen.

Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
ThePinky777
ThePinky777 03.05.2024 um 14:37:44 Uhr
Goto Top
Wenns im internen Netz ist kannste das ding anpingen, wenn du im selben Sbunet bist kannst dann in DOS mit:
arp -a 

listen welche MAC die IP hat.

Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen face-smile

Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
aqui
aqui 03.05.2024 aktualisiert um 16:41:43 Uhr
Goto Top
Der TO hat vermutlich auf ALLE anzeigen geklickt. Zumindestens bei den Mac Adressen, Well known Adressen und Funktionaladressen werden dann logischerweise im Default ALLE angezeigt die statisch irgendwelchen Funktionen, Ports oder Anwendungen zugewiesen sind egal ob sie im aktiven Trace vorkommen oder nicht. Z.B. Spanning Tree BPDU Adressen, Broadcast, CDP usw. Hier muss man entsprechend vorfiltern um nur das angezeigt zu bekommen was im aktiven Trace reinkommt wie z.B. .local Hostadressen vom mDNS usw.
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
Rainer117
Rainer117 04.05.2024 aktualisiert um 07:01:02 Uhr
Goto Top
Moin zusammen,

vielen Dank für die Rückmeldungen. allerdings habe ich das so gar nicht gemeint...

Konkretes Beispiel:
In der Tabelle unter Statistiken -> aufgelöste Adressen taucht folgender Eintrag auf:

Adresse                         Name
68.57.142.200                c-68-57-142-200.hsd1.al.comcast.net

Wenn ich jetzt aber in meinem Mitschnitt direkt mit z.B. "ip.addr == 68.57.142.200" filtere, wird mir nichts angezeigt und ich wollte mir ja genau dieses Paket anschauen...

Mir ist schon klar, dass Comcast ein Kabelnetzbetreiber ist und das ganze unkritisch ist - aber darum geht es mir nicht. Ich verstehe nicht, wie ich das konkrete Paket dazu finden kann - muss ich anders filtern? Aber bei anderen gelisteten Hosts funktioniert es so...

VG und schönes WE
aqui
aqui 04.05.2024 um 09:17:26 Uhr
Goto Top
Ja musst du. Diese IP ist ja nur eine Host IP die irgendein Client bei dir als Daten zu einem DNS Request auf den Hostnamen bekommen hat. Ob da dann überhaupt Daten hin geflossen sind ist eine andere Frage.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Rainer117
Rainer117 06.05.2024 um 10:30:36 Uhr
Goto Top
Danke für die Rückmeldung. Ich habe mir jetzt alle TCP/UPD 53 Pakete einzeln angesehen (es waren nur 8 Stück) aber in keinem taucht die gesuchte IP-Adresse im Inhalt auf.

Den Inhalt habe ich weiter durchsucht mittels

udp contains "c-68"
frame contains "c-68"
tcp contains "c-68"

Alternativ hatte ich den String auch mal mit "68." ausgetauscht - aber mir wird immer nichts angezeigt.
Mich würde ja tatsächlich dieses IP-Paket interessieren, wenn es in der Statistik steht, sollte es ja irgendwo auftauchen.
Sind bei WireShark standardmäßig irgendwelche Filter-Einstellungen gesetzt, die ich erst ändern muss?
aqui
aqui 06.05.2024 um 11:29:54 Uhr
Goto Top
Sind bei WireShark standardmäßig irgendwelche Filter-Einstellungen gesetzt, die ich erst ändern muss?
Nein!
aqui
aqui 18.05.2024 um 14:37:39 Uhr
Goto Top
Rainer117
Rainer117 19.05.2024 um 08:16:31 Uhr
Goto Top
War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...
13034433319
13034433319 19.05.2024 aktualisiert um 09:33:24 Uhr
Goto Top
Zitat von @Rainer117:

War es aber leider nicht - ich kann es mir immer noch nicht erklären warum ich das Paket nicht finde...

Stell das Capture-File doch mal bereit (per PN gerne auch wenn du willst) dann können wir es für dich final klären.

Gruß