Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Mit Wireshark Bittorrent - Emule User ausfindig machen

Mitglied: mandragora
Guten Morgen Leute,

Ich habe den Verdacht (auf Grund des hohen Traffics in letzter Zeit) das einige User P2P Programme verwenden.
Konkret habe ich da einen PC bei mir im Netz in Verdacht der es sein könnte da schon vor längerer Zeit mal P2P Software darauf gefunden wurde.

Nun möchte ich gerne mit Wireshark den Rechner oder auch das gesamte Netzwerk ein paar Tage nach auffälligen Traffic scannen.
Leider bin ich noch ein relativer Wireshark Newbie und hab im Moment recht wenig Ahnung wie ich gewisse Filter schalten muss damit mir nur P2P Programm herausgefiltert werden.

Kann mir jemand den Filter Syntax sagen den ich verwenden muss oder eine kombination aus mehreren Filtern die auf einmal zum Einsatz kommen könnten.
Und gibts igendwo dafür gute Beispiele wo ich mir gewisse Sachen selbst raussuchen kann ??? Tutorials etc.

Vielen Dank schon mal für eure Hilfe.

cu
mandragora :D :D :D

Content-Key: 70660

Url: https://administrator.de/contentid/70660

Ausgedruckt am: 30.07.2021 um 12:07 Uhr

Mitglied: Jere
Jere 11.10.2007 um 09:47:34 Uhr
Goto Top
hm, netztraffic scannen find ich für sowas doof.
ich kann mich erinnern das man ms-sms nach installationen von emule und co auf den clients suchen lassen kann. geht sicher auch mit anderer software.

wie schaut es bei euch aus?
kann man dort eventuell switch/router bezogene traffic statistiken sammeln?

ich persönlich würde das problem wie ein kreis angehen, der sich immer enger zieht.

lg,
jere
Mitglied: Supaman
Supaman 11.10.2007 um 09:55:03 Uhr
Goto Top
es muss nicht immer emule & co sein... ich hatte in den logs auch mal viel traffic gefunden, ursache war gartor, ein programm das massenweise banner einblendet und dementsprechend viel aus dem netz nachlädt.

zu deiner frage: bei managebaren switches kann man i.d.r. den traffic je port ablesen. oder wenn du zugriff auf die rechner hast: netstat -a , bei emule usern ist die liste dann seeehr lang.
Mitglied: mandragora
mandragora 11.10.2007 um 10:13:27 Uhr
Goto Top
Hallo Leute

Also ich habe leider nicht die Möglichkeit über den Switch es einzugrenzen.
Und warum sollte Netzwerktraffic scannen doof sein ???
Wie willst du dann dahinter kommen wer es verursacht und wer nicht wenn man nicht scannt.
Also mir wäre mal nix anderes im MOment bekannt.
ODer gibts noch andere Möglichkeiten dahinter zu kommen ????
Bin für jedem Tip dankbar.

cu
mandragora :D :D :D
Mitglied: SlainteMhath
SlainteMhath 11.10.2007 um 12:44:14 Uhr
Goto Top
Mir würden da 2 Ansatzpunkte einfallen:

1.
Besorg Dir die PsTools von MS (www.microsoft.com/technet/sysinternals/Utilities/PsTools.mspx) und überprüfe mit pslist, welche Prozesse auf den verdächtigen Rechnern laufen.

2.
Mach die Emule/Bittorrent Ports an Deiner FW zu, und schau in den Logs nach von welchem Deiner PCs auf den gesperrten Ports aufschlagen.

Wireshark ist m.E. für sowas nur bedingt geeignet. Der müsste ja dann zwischen Deinem Internen Netz und dem Router als Bridge hängen, falls der/die Switches kein port Mirroring unterstützen.
Heiß diskutierte Beiträge
general
Telekom hat größere StörunganteNopeVor 1 TagAllgemeinInformationsdienste30 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Windows 365SarekHLVor 1 TagFrageWindows 1112 Kommentare

Hallo zusammen, nun ist es also soweit - Microsoft stellt mit "Windows 365" die Weichen in Richtung Windows as a Service: Wenn Microsoft da schreibt ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 1 TagFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

question
Absicherung Exchange ServerLKleemannVor 1 TagFrageExchange Server7 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Anfragen an internen- und externen DNS Server gelöst BPeterVor 1 TagFrageWindows Server17 Kommentare

Hallo, im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber ...

question
Robocopy - FEHLER 0 (0x00000000)emeriksVor 1 TagFrageBatch & Shell10 Kommentare

Hi, habe ich hier einen täglichen Copy Job, wo Robocopy plötzlich "Fehler 0" meldet, dass es erfolgreich sei, aber nichts kopiert. Festplatte des NAS ist ...

report
Erfahrungsbericht Vodafone - All your Verträge belong to us!anteNopeVor 19 StundenErfahrungsberichtFlatrates9 Kommentare

Hallo zusammen, da the-buccaneer so nett gebeten hat, hier eine weitere Erfahrung mit und von Voodoofone. Es begab sich zur Zeit zu Weihnachten vor 3 ...

question
Anmeldeprobleme w10 auf server2012fisch56Vor 1 TagFrageWindows Server11 Kommentare

Hallo allerseits, mich bringt es fast um. Server 2012R, 7 Arbeitsstationen, alle haben einen Zugriff auf den Server, dort sind 2 Programme, alles läuft easy. ...