Wireshark

  • Hallo Freunde,


    Hat jemand vielleicht etwas Erfahrung mit Wireshark ?


    Ich wollte mir den Dateverkehr zwischen einem Rechner mit Putty und einem Raspi anzeigen lassen.


    Dazu hab ich auf einem Win7/32Bit Rechner Wireshark installiert (IP:10.0.0.22) und mich mit einem anderen Rechner/XP (10.0.0.20) mit Putty am Raspi (10..0.0.63) eingeloggt.

    Und wollte mir nun den Datenverkehr zwischen 10.0.0.63 und 10.0.0.20 ansehen und hab einige Pakete mit SSH-Protokoll erwartet.


    Mitnichten - ich konne im Wireshark nur UDP-Protokolle zwischen 10.0.0.22 und 10.0.0.63 und ICMP Protokolle zwischen 10.0.0.63 und 10.0.0.255 sehen.


    Logge ich mich allerdings mit Putty von dem Rechner wo auch Wireshark laeuft am Raspi ein, dann sehe ich die erwarteten Protokolle.


    Ich "sch..." schon stundelang herum - mach ich was falsch oder kann das der Wireshark nicht ?


    Netzwerk ist alles Kabel und eine Fritbox 7490 als Router und Gateway.


    Ich würde mich auf einen Tipp freuen.


    LG Pretzi

    :danke_ATDE:

  • Vermutung (habe keine FB):

    Die Fritzbox arbeitet als Switch, deswegen "sieht" der wireshark-PC an seinem Anschluss (3) gar nicht, was zwischen den anderen PCs (1 + 2) an Traffic läuft. Du müsstest den Port 3 als Mirror-Port konfigurieren, damit alles (tx/rx) von z.B. Port 2 dorthin dupliziert wird (die meisten Switche können das, FB?).

    siehe auch https://blog.packet-foo.com/20…k-part-1-ethernet-basics/

    Das S in IOT steht für Sicherheit.

  • Wie hast du die 2 Windows PCs und den RPi an der FB angeschlossen (RJ45 Buchsen, Ports)?

    Wahrscheinlich ähnlich:

    FB Port 1 XP

    FB Port 2 RPi

    FB Port 3 Win7


    Das heisst, du willst auf Port 3 mittels wireshark den ssh-Traffic zwischen Port 1 und 2 abhören. Das geht nicht.

    Siehe obigen Link, den Absatz zu "Switches", vielleicht wirds dann klarer.

    Dort Stünde "Server 1" für deinen RPi, "Client" für den XP mit Putty und "Packet Capture" für den Win7-PC.

    Das S in IOT steht für Sicherheit.

    Einmal editiert, zuletzt von llutz ()

  • Falls die Fritzbox kein Port-Mirroring kann gäbe es noch die Variante, einen Hub aufzutreiben und die Geräte daran anzuschliessen. Ansonsten einen Switch dazwischen hängen der das kann.


    Grüsse

    Peter

  • Das heisst, du willst auf Port 3 mittels wireshark den ssh-Traffic zwischen Port 1 und 2 abhören.

    Genau so wollte ich es, ist mir nun klar dass es nicht geht.

    Falls die Fritzbox kein Port-Mirroring kann gäbe es noch die Variante, einen Hub aufzutreiben und die Geräte daran anzuschliessen. Ansonsten einen Switch dazwischen hängen der das kann.

    Ist denke ich nicht nötig, ich wollte mich nur ein wenig mit dem Wireshark beschäftigen.

    Aber noch eine Frage : wie sieht es bei WLAN aus ?

    :danke_ATDE:

  • Wireshark kann das schon oder nur, wenn Du den Traffic zwischen 10.0.0.63 und 10.0.0.20 über 10.0.0.22 (Gerät auf dem Wireshark) aktiv ist) umleitest. Wie und ob das mit Windows geht weiß ich nicht. Mit Linux sollte das mit arpspoof ("man-in-the-middle against a client in the (W)LAN") oder gleichwertig, möglich sein.

  • Ich bin eigentlich auf Wireshark aufmerksam geworden, da man bei einem Kollegen am Firmenrechner Wireshark und Cain&Abel gefunden hat, und der EDV-Beauftragte hat behauptet man könne damit jeden Rechner im Netz ausspionieren indem man den Netzverkehr belauscht (hätte ihm fast den Job kekostet). Aber bei uns ist alles verkabelt es wimmelt von Switches und das WLAN ist nur eingeschränkt als Gastzugang zum Internet freigegeben.

    Also sind die Programme eh eher nutzlos.


    lg Pretzi

    :danke_ATDE:

  • es wimmelt von Switches

    Nicht alles, was als Switch bezeichnet wird, ist auch einer. Oft sind das einfache Hubs - dort würde Wireshark schon eher etwas abgreifen können.

    Aber egal - Idiotischer Kollege, der wegen seines kindischen Spieltriebs den Job riskiert.

    Das S in IOT steht für Sicherheit.

  • Sobald fremde Pakete an der Schnittselle vorbeirauschen, kann Wireshark diese anzeigen/aufzeichnen, wenn die Schnittstelle "transparent" betrieben wird. (Einstelllung in Wireshark).


    Servus !

    Wer nichts weiß, muss alles glauben.

  • Nur rauscht in einem geswitchten Netzwerk nix nicht viel vorbei.


    @edv-Beauftragter: Warum hatte der Mitarbeiter Admin-Rechte?

    Das S in IOT steht für Sicherheit.

    Einmal editiert, zuletzt von llutz ()

  • > Nur rauscht in einem geswitchten Netzwerk nix vorbei.

    Doch, die Broadcasts. Und aus denen kann man schon eine Menge ueber das Netzwerk erfahren.


    Und dann gibt es auch die Multicast Groups. Wenn man ein Join schickt, kriegt man auch diese Streams.


    Vielleicht snifft er ja bloss die Netztopologie und der Angriff kommt spaeter von einer anderen Maschine.


    Den Typ mit dem Wireshark wuerde ich auf jeden Fall sehr scharf im Auge behalten...

  • Vermutung:


    Der Mitarbeiter hat mit wireshark das Admin Passwort ausspioniert und hat sich Admin Rechte verschafft:daumendreh2: .. er wusste natürlich nicht, dass dies strafbar ist und man gefeuert werden könnte. Nein, niemals:angel:

    Wenn's brennt 112 hilft weiter!

  • Es gibt innerhalb der Fritzbox auch die Funktion von Paketmitschnitt. Ich bin mir jetzt allerdings nicht sicher, ob du auch zwischen den Ports auslesen kannst. Ein Versuch wäre es vielleicht wert. Unter diesem Link, kannst du Mitschneiden: http://fritz.box/html/capture.html


    Auswerten kann man das ganze mit Wireshark.