Hallo!
Ich nehme Bezug zu folgendem Artikel: /t/wireshark-loggt-nur-lokalen-traffic/4476033
Wenn es z.B. bei Wireshark nur möglich ist, den eigenen Traffic zu loggen, ist dann der „Sinn“ des Programmes nicht weit verfehlt?
Wenn ich z.B. gucken will, ob das eigene Netzwerk von außen angreifbar ist, wie soll ich das machen? Geht doch so gar nicht.
Gruß
Ich nehme Bezug zu folgendem Artikel:
/t/wireshark-loggt-nur-lokalen-traffic/4476033Wenn es z.B. bei Wireshark nur möglich ist, den eigenen
Traffic zu loggen, ist dann der „Sinn“ des Programmes nicht
weit verfehlt?
Es geht doch erst einmal nicht anders. Ein PC hängt an einem Switch, und über das Kabel zum PC läuft nun mal nur der eigene Traffic. Also kann man auch nichts anderes messen als das.
Wenn du den Traffic von vielen PC messen willst, musst du einen Mess-PC mit Wireshark an den Monitoring-Port des Switches anschließen. Dieser Port kann so konfiguriert werden, dass sämtlicher Traffic, der über den Switch läuft, auch über diesen Port läuft. Jetzt kann man dort schon mehr Traffic sehen.
Ein Switch mit Monitoring-Port ist nicht Geiz-ist-geil-kompatibel. Du findest derartige Switches in professionellen Umgebungen. Mir ist kein Soho-Switch bekannt, der das könnte, aber für 9,95 kann man auch nix verlangen.
Es geht auch mit einem Hub, da dort der gesamte Traffic über alle Ports läuft.
Wenn ich z.B. gucken will, ob das eigene Netzwerk von außen
angreifbar ist, wie soll ich das machen? Geht doch so gar
nicht.
Du könntest anstatt Wireshark genauso gut Powerpoint dafür einsetzen. Die Ähnlichkeit dieser beiden Programme hinsichtlich ihrer Unbrauchbarkeit bezüglich Netzwerkangriffe ist schon legendär.
Wireshark ist ein Traffic-Analysewerkzeug. Für Angriffsszenarien nimmt man besser nmap oder einen anderen brauchbaren Portscanner (gibts einen außer nmap?). Dann zeichnest du mit Wireshark den Traffic auf, den nmap von außen verursacht. Danach analysierst du ihn.
Dazu brauchst du ebenfalls den oben beschrieben Switch, oder einen Hub, oder du setzt den Wireshark-PC mit zwei Netzwerkkarten vor deinen Router.
Ich käme allerdings gar nicht auf diese Idee. Ich würde mit nmap die Ports scannen und sehe dann ja schon, welche offen sind. Wenn sie es nicht sein sollen, beende ich die Programme, die diese Ports benutzen. Wireshark setzt man eigentlich nur ein, um ein bestimmtes Problem mit dem Traffic zu lösen, beispielsweise: warum funktioniert mein Loadbalancer nicht so, wie ich es erwarte? Welche Pakete durchqueren meine Firewall? Welche Antwort gibt dieser verdammte Server im Detail? Warum geht mein DHCP nicht richtig? Son Zeugs halt.
Gruß,
Stefan
Verstehe 
du kannst natürlich mit cain&abel die pcs in deinem netzwerk ARP-Spoofen, dann läuft sämtlicher traffic über deinen pc und ist auch mit wireshark einsehbar