Einfacher Network-Sniffer mit Namensauflösung?

Computer: Hardware Netzwerk
#1

Hallo Leute

Ich suche nach einem sehr einfach zu bedienenden Programm, dass anzeigen kann, zu welchen Rechnern (IP-Adressen) gerade aus meinem LAN zugegriffen wird.

Das LAN besteht aus mehreren PCs, die entweder per Ethernet-Kabel oder per WLAN verbunden sind und über einen zentralen Breitband-Router am Internet hängen.

Wunschvorstellung: man hängt einen Rechner mit einer Software ins Netz - die Software zeigt einen an, zu welchen Rechnern (DNS-Name und nicht IP-Adresse!) gerade eine offene Verbindung besteht (bzw. innerhalb der letzten x Sekunden bestand). Klickt man auf einen der Rechnernamen, bekommt man Details wie z.b. über welchen Port kommuniziert wurde, wobei bekannte Ports mit Namen versehen werden (wie eben Port 80 mit HTTP). Erst wenn auf den jeweiligen Port geklickt wird, sollen Paket-Details angezeigt werden - aber dann schon gefiltert nach IP-Adresse und Port.

Warum das ganze? Ist nicht für mich sondern für meinen Bruder, der sich nicht ganz so gut mit Netzwerken auskennt, der aber trotzdem kontrollieren möchte, mit welchen Rechnern seine PCs so reden (Stichwort Trojaner und so). Derzeit setzt er Wireshark ein - nur das ist eher ein Analysetool zur Fehlersuche und erfordert einiges an Basiswissen. Hab mir noch Capsa angeschaut - kommt schon recht nahe an die Anforderung ran. Nur macht es eben keine automatische Namensauflösung und ist auch etwas zu kompliziert zu bedienen.

Kennt jemand eine einfach zu bedienende Software, die in etwa das kann, was ich gerne hätte? Danke schon mal für Tipps.

lg
Erwin

#2

Hallo,

versuchs mal mit TCPView.

Gruß Bytestorm

#3

leider nicht…
Hallo

Wenn du TCPView aus dem Sysinternals-Paket meinst: das zeigt nur den Datenverkehr von MEINEM Rechner an. Ich bräuchte aber ein Werkzeug ähnlich einem Paket-Sniffer, der den gesamten Verkehr aus dem LAN nach draussen analysieren kann.

lg
Erwin

#4

Hallo,

Wenn du TCPView aus dem Sysinternals-Paket meinst: das zeigt
nur den Datenverkehr von MEINEM Rechner an. Ich bräuchte aber
ein Werkzeug ähnlich einem Paket-Sniffer, der den gesamten
Verkehr aus dem LAN nach draussen analysieren kann.

Das ist schon deshalb problematisch, weil Du an den üblichen Switches nicht den gesamten Netzwerkverkehr an allen Ports siehst, Du brauchst also einen Monitoring Port. Oder einen Hub (*hüstel*).

Mit ARP-Poisoning für eine derartige Aufgabenstellung anzufangen ist zumindest eher nicht so das, was man will …

Gruß,

Sebastian

#5

Hallo,

Wenn du TCPView aus dem Sysinternals-Paket meinst: das zeigt
nur den Datenverkehr von MEINEM Rechner an. Ich bräuchte aber
ein Werkzeug ähnlich einem Paket-Sniffer, der den gesamten
Verkehr aus dem LAN nach draussen analysieren kann.

Das ist schon deshalb problematisch, weil Du an den üblichen
Switches nicht den gesamten Netzwerkverkehr an allen Ports
siehst, Du brauchst also einen Monitoring Port. Oder einen Hub
(*hüstel*).

^^

Ja das wird nicht einfach… am besten wäre es wohl wen du das über deinen Router realisierst, du könntest dir da z.B. ne IP-Cop installieren und nach nem Addon suchen das die namensauflösung übernimmt.

Erfahrungsgemäß ist das Datenaufkommen hier aber so hoch das eine Auswertung extrem Zeitaufwendig wäre da ja so gut wie jedes programm heutzutage „nach hause telefoniert“ z.B. um auf neue Updates zu prüfen etc.

Mit ARP-Poisoning für eine derartige Aufgabenstellung
anzufangen ist zumindest eher nicht so das, was man will …

Die tools die hierfür nötig wären sind auch soweit ich weiß in DE nicht mehr zulässig, da wäre ich dann schon eher für den Monitoring Port erfordert halt Hardware die das auch unterstützt.

Gruß Bytestorm

#6

Ich suche nach einem sehr einfach zu bedienenden Programm,
dass anzeigen kann, zu welchen Rechnern (IP-Adressen) gerade
aus meinem LAN zugegriffen wird.

Im Zeitalter der Netzwerk-Switches geht das schlichtweg nicht.

Diese Funktion erfordert, dass „jemand“ an der Schnittstelle WAN-LAN mithört.
In der Regel ist das der Router.
Manche Firmena lassen das auch über einen Server laufen, der könnte dann alles protokollieren.

Das LAN besteht aus mehreren PCs, die entweder per
Ethernet-Kabel oder per WLAN verbunden sind und über einen
zentralen Breitband-Router am Internet hängen.

Wunschvorstellung: man hängt einen Rechner mit einer Software
ins Netz - die Software zeigt einen an, zu welchen Rechnern
(DNS-Name und nicht IP-Adresse!) gerade eine offene Verbindung
besteht (bzw. innerhalb der letzten x Sekunden bestand).

Du wirst lachen:
So ziemlich genau das habe ich noch vor ein paar Tagen gemacht.

Ich hatte dabei Zugriff auf einen Router der Firma Lancom.
Bei dem kann man Firewall-Regeln auftstellen.

Deine würde dann etwa so lauten:

Wenn Datenverkehr zum WAN erfolgt, der über 0kBit/s Geschwindigkeit liegt, dann übermittele die Pakete, aber mache einen Eintrag ins Syslog.

(ICH nutzte die Regel anders: Ich ließ alle Pakete >500kBit/s verwerfen und einen Syslog EIntrag schreiben, so drosselte ich die Datenrate eines bestimmten Teilnehmers)

Das Syslog ist recht simpel zu betrachten:
Du siehst Quell- und Ziel-IP.
Leider wird die öffentliche IP NICHT aufgelöst, da wird also immer ein whois fällig.
Die Ports erscheinen auch und werden, sofern bekannt, erläutert.

Zur Bedienung:
Ich bin fortgeschrittener Laie.
Nach etwas Eingewöhnung in die außergewöhnlich umfangreiche Programmierbarkeit des Routers hat das aber recht einfach geklappt.

Kennt jemand eine einfach zu bedienende Software, die in etwa
das kann, was ich gerne hätte? Danke schon mal für Tipps.

Nur noch mal zur Klartstellung:

Rechner 1 im LAN sieht nicht, wenn Rechner 2 sich was aus dem Internet kommen lässt. Der Switch sorgt dafür, dass nur Pakete an den jeweiligen Rechner gelangen, für den sie auch bestimmt sind.

Also entweder muss es der Router protokollieren können (Achtung: Bei dem Lancom waren nur die letzten 100 Einträge sichtbar), oder man muss einen PC zwischen das lokale Netz und das Internet hängen.

HINWEIS:

DATENSCHUTZ!!! Das Ganze ist vermutlich problematisch. Frage vorher mal im Arbeitsrecht-Brett nach den erlaubten Einsatzmöglichkeiten!

#7

Hallo,

wenn du jetzt erzählen würdest, was für einen Router du hast, dann wäre geholfen.

Falls du die Fritz!Box hast, kann diese für dich tracen. Da kannste dir noch das Interface aussuchen. Und das ganze lässt sich per WireShark auswerten.

Machst du dann so: http://fritz.box/html/capture.html

Beim Speedport ist es ähnlich. Alle anderen Router musst du selber rausfinden. :smile: Google hilft: „Trace routername“ z.B.

Haelge

#8

Ich suche nach einem sehr einfach zu bedienenden Programm,
dass anzeigen kann, zu welchen Rechnern (IP-Adressen) gerade
aus meinem LAN zugegriffen wird.

ntop.

Gruß,
Stefan

#9

Hallo,

Mit ARP-Poisoning für eine derartige Aufgabenstellung
anzufangen ist zumindest eher nicht so das, was man will …

Die tools die hierfür nötig wären sind auch soweit ich weiß in
DE nicht mehr zulässig,

Das kann ich natürlich nicht beurteilen, sie liegen aber zum Besipiel auf den offiziellen Debian-Mirrors herum und da sind so einige in Deutschland.

Ich finde, man sollte bei dem „Hacker-Paragraphen“ auch Beile mit einschließen. Und Messer. Gabeln. Löffel sowieso.

Gruß,

Sebastian