Wireshark

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Freunde,

    Hat jemand vielleicht etwas Erfahrung mit Wireshark ?

    Ich wollte mir den Dateverkehr zwischen einem Rechner mit Putty und einem Raspi anzeigen lassen.

    Dazu hab ich auf einem Win7/32Bit Rechner Wireshark installiert (IP:10.0.0.22) und mich mit einem anderen Rechner/XP (10.0.0.20) mit Putty am Raspi (10..0.0.63) eingeloggt.

    Und wollte mir nun den Datenverkehr zwischen 10.0.0.63 und 10.0.0.20 ansehen und hab einige Pakete mit SSH-Protokoll erwartet.

    Mitnichten - ich konne im Wireshark nur UDP-Protokolle zwischen 10.0.0.22 und 10.0.0.63 und ICMP Protokolle zwischen 10.0.0.63 und 10.0.0.255 sehen.

    Logge ich mich allerdings mit Putty von dem Rechner wo auch Wireshark laeuft am Raspi ein, dann sehe ich die erwarteten Protokolle.

    Ich "sch..." schon stundelang herum - mach ich was falsch oder kann das der Wireshark nicht ?

    Netzwerk ist alles Kabel und eine Fritbox 7490 als Router und Gateway.

    Ich würde mich auf einen Tipp freuen.

    LG Pretzi

    :danke_ATDE:

  • Vermutung (habe keine FB):

    Die Fritzbox arbeitet als Switch, deswegen "sieht" der wireshark-PC an seinem Anschluss (3) gar nicht, was zwischen den anderen PCs (1 + 2) an Traffic läuft. Du müsstest den Port 3 als Mirror-Port konfigurieren, damit alles (tx/rx) von z.B. Port 2 dorthin dupliziert wird (die meisten Switche können das, FB?).

    siehe auch https://blog.packet-foo.com/2016/10/the-ne…thernet-basics/

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Wie hast du die 2 Windows PCs und den RPi an der FB angeschlossen (RJ45 Buchsen, Ports)?

    Wahrscheinlich ähnlich:

    FB Port 1 XP

    FB Port 2 RPi

    FB Port 3 Win7

    Das heisst, du willst auf Port 3 mittels wireshark den ssh-Traffic zwischen Port 1 und 2 abhören. Das geht nicht.

    Siehe obigen Link, den Absatz zu "Switches", vielleicht wirds dann klarer.

    Dort Stünde "Server 1" für deinen RPi, "Client" für den XP mit Putty und "Packet Capture" für den Win7-PC.

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (30. Oktober 2018 um 17:52)

  • Das heisst, du willst auf Port 3 mittels wireshark den ssh-Traffic zwischen Port 1 und 2 abhören.

    Genau so wollte ich es, ist mir nun klar dass es nicht geht.

    Falls die Fritzbox kein Port-Mirroring kann gäbe es noch die Variante, einen Hub aufzutreiben und die Geräte daran anzuschliessen. Ansonsten einen Switch dazwischen hängen der das kann.

    Ist denke ich nicht nötig, ich wollte mich nur ein wenig mit dem Wireshark beschäftigen.

    Aber noch eine Frage : wie sieht es bei WLAN aus ?

    :danke_ATDE:

  • Dazu hab ich auf einem Win7/32Bit Rechner Wireshark installiert (IP:10.0.0.22) und mich mit einem anderen Rechner/XP (10.0.0.20) mit Putty am Raspi (10..0.0.63) eingeloggt.

    Und wollte mir nun den Datenverkehr zwischen 10.0.0.63 und 10.0.0.20 ansehen und hab einige Pakete mit SSH-Protokoll erwartet.

    Mitnichten - ich konne im Wireshark nur UDP-Protokolle zwischen 10.0.0.22 und 10.0.0.63 und ICMP Protokolle zwischen 10.0.0.63 und 10.0.0.255 sehen.

    Logge ich mich allerdings mit Putty von dem Rechner wo auch Wireshark laeuft am Raspi ein, dann sehe ich die erwarteten Protokolle.

    Ich "sch..." schon stundelang herum - mach ich was falsch oder kann das der Wireshark nicht ?

    Wireshark kann das schon oder nur, wenn Du den Traffic zwischen 10.0.0.63 und 10.0.0.20 über 10.0.0.22 (Gerät auf dem Wireshark) aktiv ist) umleitest. Wie und ob das mit Windows geht weiß ich nicht. Mit Linux sollte das mit arpspoof ("man-in-the-middle against a client in the (W)LAN") oder gleichwertig, möglich sein.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich bin eigentlich auf Wireshark aufmerksam geworden, da man bei einem Kollegen am Firmenrechner Wireshark und Cain&Abel gefunden hat, und der EDV-Beauftragte hat behauptet man könne damit jeden Rechner im Netz ausspionieren indem man den Netzverkehr belauscht (hätte ihm fast den Job kekostet). Aber bei uns ist alles verkabelt es wimmelt von Switches und das WLAN ist nur eingeschränkt als Gastzugang zum Internet freigegeben.

    Also sind die Programme eh eher nutzlos.

    lg Pretzi

    :danke_ATDE:

  • es wimmelt von Switches

    Nicht alles, was als Switch bezeichnet wird, ist auch einer. Oft sind das einfache Hubs - dort würde Wireshark schon eher etwas abgreifen können.

    Aber egal - Idiotischer Kollege, der wegen seines kindischen Spieltriebs den Job riskiert.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Nur rauscht in einem geswitchten Netzwerk nix nicht viel vorbei.

    @edv-Beauftragter: Warum hatte der Mitarbeiter Admin-Rechte?

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (31. Oktober 2018 um 09:54)

  • > Nur rauscht in einem geswitchten Netzwerk nix vorbei.

    Doch, die Broadcasts. Und aus denen kann man schon eine Menge ueber das Netzwerk erfahren.

    Und dann gibt es auch die Multicast Groups. Wenn man ein Join schickt, kriegt man auch diese Streams.

    Vielleicht snifft er ja bloss die Netztopologie und der Angriff kommt spaeter von einer anderen Maschine.

    Den Typ mit dem Wireshark wuerde ich auf jeden Fall sehr scharf im Auge behalten...

  • Vermutung:

    Der Mitarbeiter hat mit wireshark das Admin Passwort ausspioniert und hat sich Admin Rechte verschafft:daumendreh2: .. er wusste natürlich nicht, dass dies strafbar ist und man gefeuert werden könnte. Nein, niemals:angel:

    Wenn's brennt 112 hilft weiter!

  • Es gibt innerhalb der Fritzbox auch die Funktion von Paketmitschnitt. Ich bin mir jetzt allerdings nicht sicher, ob du auch zwischen den Ports auslesen kannst. Ein Versuch wäre es vielleicht wert. Unter diesem Link, kannst du Mitschneiden: http://fritz.box/html/capture.html

    Auswerten kann man das ganze mit Wireshark.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!