Wireshark - Scannen nach Trafik (Virus?)
Hallo an alle,
ich habe /hatte im Netzwerk einen Virus. Leider scheint sich noch irgendwo einer versteckt zu haben. Trendmicro oder Sophos finden nichts mehr.
Das Internet und das Netzwerk sind saulangsam geworden. (Bagle & Netsky fand ich schon)
Nun erzählte mir ein Bekannter, das man mit Wireshark den Überltäter, der evtl. das Netzwer belastet aufspüren kann.
Hat jemand eine Kurzanleitung wie ich eine IP-Range angeben kann, die dann über Nacht überwacht wird?
Von irgendeinem Rechner geht SPAM über Port 25 raus, nur ich find den Überltäter nicht.
Oder hat jemand eine andere Idee?
Aktuell ist am Router Port 25 nur für den Exchange freigegeben. Es müßte quasi ruhe herschen, aber das Problem besteht ja weiterhin.
Ich formuliere es mal vorsichtig: HIIIILFEEE!!!
Danke schon mal.
Gruß
Manfred
ich habe /hatte im Netzwerk einen Virus. Leider scheint sich noch irgendwo einer versteckt zu haben. Trendmicro oder Sophos finden nichts mehr.
Das Internet und das Netzwerk sind saulangsam geworden. (Bagle & Netsky fand ich schon)
Nun erzählte mir ein Bekannter, das man mit Wireshark den Überltäter, der evtl. das Netzwer belastet aufspüren kann.
Hat jemand eine Kurzanleitung wie ich eine IP-Range angeben kann, die dann über Nacht überwacht wird?
Von irgendeinem Rechner geht SPAM über Port 25 raus, nur ich find den Überltäter nicht.
Oder hat jemand eine andere Idee?
Aktuell ist am Router Port 25 nur für den Exchange freigegeben. Es müßte quasi ruhe herschen, aber das Problem besteht ja weiterhin.
Ich formuliere es mal vorsichtig: HIIIILFEEE!!!
Danke schon mal.
Gruß
Manfred
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120974
Url: https://administrator.de/forum/wireshark-scannen-nach-trafik-virus-120974.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
4 Kommentare
Neuester Kommentar
hallo,
Kannst nu nicht am Router sehen , welche Anfragen auf port 25 geblockt werden?
Ansonsten müsstest du halt wissen nach was du suchst, sonst wird es imho ziemlich schwierig mit
wireshark.
Kannst nu nicht am Router sehen , welche Anfragen auf port 25 geblockt werden?
Ansonsten müsstest du halt wissen nach was du suchst, sonst wird es imho ziemlich schwierig mit
wireshark.
Klemm einen kleinen 4 Port Hub (es muss ein Hub sein, kein Switch) zwischen Router und Netzwerk und daran schliesst du den Wireshark an.
Dann startest du den und gehst auf Capture -> Filter.
Hier filterst du die IP Adressrange und auch den Port TCP 25. Damit sieht der Wireshark dann nur noch TCP 25 Pakete aus deiner Range.
Details zum WIE findest du hier:
http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929
Das ist in 3 Minuten aufgesetzt und anhand der Quell IP Adressen hast du die Übeltäter dann im Handumdrehen.
Ohne Hub gibt es noch eine Lösung mit 2 Netzwerkkarten und einer Live Linux Boot CD wie z.B. der Backtrack Live Distro:
http://www.remote-exploit.org/backtrack.html
wo der Wireshark gleich mit drauf ist.
Mit etwas Handarbeit hast du dann einen Bootbaren Sniffer ohne Hub.
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
Dann startest du den und gehst auf Capture -> Filter.
Hier filterst du die IP Adressrange und auch den Port TCP 25. Damit sieht der Wireshark dann nur noch TCP 25 Pakete aus deiner Range.
Details zum WIE findest du hier:
http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929
Das ist in 3 Minuten aufgesetzt und anhand der Quell IP Adressen hast du die Übeltäter dann im Handumdrehen.
Ohne Hub gibt es noch eine Lösung mit 2 Netzwerkkarten und einer Live Linux Boot CD wie z.B. der Backtrack Live Distro:
http://www.remote-exploit.org/backtrack.html
wo der Wireshark gleich mit drauf ist.
Mit etwas Handarbeit hast du dann einen Bootbaren Sniffer ohne Hub.
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...