misterxy 10 Geschrieben 14. Juni 2004 Melden Teilen Geschrieben 14. Juni 2004 Hallo Kollegen, ich habe bei uns in der Firma seit Kurzem die Ehre mich ums Netz zu kümmern. Dazu habe ich mir als Hilfsmittel folgendes Tool installiert: NetworkActiv PIAFCTM 1.5 Jetzt stehe ich da wie der Ochs vorm Berg, seh zig Pakete an mit vorbeirauschen und kann beim besten Willen nix erkennen. Worauf muß man denn mit so einem Toll achten? Gibt es tyxpische Paketgrößen für Malware?? Bei welchen Transfers sollte ich hell hörig werden? source:? destinatuion:? Welche Ports sollen auf alle Fälle in unserem Netz nicht auftauchen.. Kann mir da vielleicht jemand auf die Sprünge helfen? Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 14. Juni 2004 Melden Teilen Geschrieben 14. Juni 2004 Hallo misterxy, willkommen on Board. :) Netzwerkanalysen sind ein kompliziertes Geschäft. Um mit so einem Tool vernünftig arbeiten zu können, sollten drei Vorraussetzungen erfüllt sein. 1) Fundierte Netzwerkkenntnisse Ohne diese Kenntnisse macht das alles keinen Sinn. Man sollte schon wissen, was Ports sind, welche Port zu welcher Anwendung gehören, welche Protokolle laufen im Netz, wie sieht ein Datenpaket von innen aus und was muss/darf da drin stehen. 2) Was soll überwacht werden Den kompletten Datenstrom zu protokollieren, ist ganz nett, aber wenig effektiv. Du musst dich also entscheiden, welche Daten du für eine gezielte Analyse benötigst. Dazu brauchst du das Wissen aus Punkt 1). :wink2: 3) Das Tool kennen Um gezielt nach bestimmten Daten suchen zu können, musst du dich mit den Filterregeln des Tools vertraut machen. Dann bekommst du genau die Informationen, die du haben willst. Damian Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 14. Juni 2004 Melden Teilen Geschrieben 14. Juni 2004 Nicht dass ich Dich jetzt entmutigen will aber Dein Ansatz, da ein humanoides IDS abbilden zu wollen ist untauglich. So wie es scheint hast du keine Ahnung von dem was Du siehst, da kannst Du auch zum Fenster raussehen, das ist im konkreten Fall ähnlich Effektiv. Weiterhin vermute ich, dass Du hinter einem Switch sitzt, da siehst Du allerdings nicht wirklich viel. Paket- / Protokollanalyse mit einem Sniffer (sowas wird die von Dir eingesetzte Software wohl sein) wird nur unter bestimmten Umständen gemacht - meistens um Fehler einzugrenzen die man mit keinem anderen Werkzeug sonst festmachen kann. An sowas gehen normalerweise sehr erfahrene Spezialisten mit jahr(zehnte)elanger Erfahrung ran, selbst sehr gute Admins und Netzwerker sind damit oft überfordert weil sie das erforderliche Spezialwissen nicht haben. Selbst wenn Du dieses Spezialwissen hättest wärst Du absolut chancenlos wenn Du damit ein IDS simulieren und im laufenden Datenverkehr irgendwelche Viren / Trojaner / ... erkennen - und auch noch darauf reagieren - wolltest. Mir scheint, dass es in Deinem Fall besser wäre, wenn Du Dich zuerstmal mit den Grundlagen des Netzwerkens beschäftigst, Deine Fragestellungen lassen vermuten dass Du die nicht kennst, viele Infos dazu gibt es hier im Forum, ansonsten gibt es umfangreiche Schulungsprogramme vieler Anbieter und Fachbücher die auch für Einsteiger geeignet sind. Solange solltest Du Dir überlegen, ob es nicht besser ist, einen Fachmann für die Administration hinzuzuziehen, das Risiko dass ein Anfänger ein System aus Unwissenheit plättet ist relativ hoch. Gruss Markus Zitieren Link zu diesem Kommentar
misterxy 10 Geschrieben 14. Juni 2004 Autor Melden Teilen Geschrieben 14. Juni 2004 ganz so **** wie ihr mich hier hinstellt bin ich aber gar nicht. mir sind die grundlagen von Netzwerken schon bekannt. switche, router werden von uns selber konfiguriert. wir haben hier an die 2000 user im netz. was ich eigentlich wollte, wären tipps auf was ich achten muß. wenn ich so einen sniffer im einsatz habe. ich habe halt da keine erfahrung, deshalb hatte ich das recht weit offen gelassen. also nochmal konkret. bei uns ist die netzwerkgeschwindgkeit momentan recht mager. ich gehe davon aus, dass es an unserem applicationsserver liegt, den ich heute abend neu starte, was in der regel dann das ganze wieder schneller macht. das reicht mir aber nicht. ich bin halt auf der suche nach der ursache. deswegen hatte ich gedacht ich schau mir mal den traffic an, ob mir da was auffällt. und jetzt kommt auch wieder meine frage: könnt ihr mir ein paar tips dazu geben, wo kriege ich dazu infos her?? was ist normal, auf welche porst muss ich aufpassen? ich hänge halt ein wenig in der luft grad ......... Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 14. Juni 2004 Melden Teilen Geschrieben 14. Juni 2004 Es stellt Dich hier niemand als bl*d oder sonstwas hin. Es geht lediglich darum, Dir aufzuzeigen dass das was Du vorhast ein ziemlich sinnloses Unterfangen ist - oder wie der Amerikaner sagt: A fool with a tool is still a fool - jetzt bitte nicht wieder aufs Füsschen getreten fühlen. Nur weil ich einen Drehmomentschlüssel im Werkzeugkasten habe werde ich den Teufel tun und den Zylinderkopf von meinem Auto abschrauben. Nur weil Du an einem mittelgrossen Netz rumadministrieren darfst und in der Lage warst, irgendeinen Sniffer zu installieren heisst das noch nicht dass Du deswegen auch Protokollanalyse (auch nur ansatzweise) beherrschst. Und wenn man das erforderliche KnowHow mal eben so in einem Forum transportieren könnte wäre ich arbeitslos. Soso, die Netzwerkgeschwindigkeit ist "langsam" und der "applicationsserver" ist schuld. Verrätst Du uns auch, wie Du zu dieser Erkenntnis gekommen bist - ausser dass das Netzwerk wieder "schneller" ist wenn man den Server neu gestartet hat? Welche Datenrate hat ein "schnelles" Netzwerk verglichen mit einem "langsamen"? Ist Dir klar dass ein Serverneustart ausser dem Server auch noch andere Gerätschaften im Netz beeinflusst? Welche? Wie? Wie hast Du diese anderen Geräte als Fehlerursache ausgeschlossen? Hast Du überhaupt irgendwelche Trenddaten von Deinem Netzwerk was die Auslastung der Links und der aktiven Komponenten angeht? Welche? Hast Du Trenddaten über das Antwortverhalten des Servers und der darauf laufenden Anwendungen? Welche? Weisst Du, ob die Netzwerkkarte in Deinem Sniffer-PC überhaupt fürs sniffen geeignet ist? Wonach willst Du konkret sniffen? Versteh mich bitte richtig, ich will Dich hier nicht runtermachen oder als Vollde**en hinstellen, es geht mir einfach darum, aufzuzeigen dass es mit einem Sniffer und etwas Hilfestellung in einem Forum nicht getan ist. Gruss Markus Zitieren Link zu diesem Kommentar
misterxy 10 Geschrieben 16. Juni 2004 Autor Melden Teilen Geschrieben 16. Juni 2004 Ja eh ..... Deswegen frage ich ja ....... also ich habe leider kein anderes Hilfsmittel als einen Datentransfer per ftp durchzuführen um die Geschwindigkeit einschätzen zu können. Ich möchte mich halt mit der Materie aus einander setzen und suche nach der Eingangstür (Erfolgserlebnis). Dachte ich finde hier Anregungen, war wohl nix .... Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Hi. Wie ich schon sagte, du musst dich entscheiden, was du überprüfen willst. Da musst du methodisch rangehen. In deinem Fall ist das Problem ein "langsames Netzwerk". Nun musst du dir überlegen, was könnten die möglichen Ursachen dafür sein? 1) Physikalische Probleme Sind die Kabelstrecken in Ordnung (Knicke, lose Stecker, Störeinflüsse von aussen)? Gibt es zwischen den Kommunikationspartnern noch weitere Geräte (Hub, Switch, Router), welche Störungen verursachen könnten? Das ist sozusagen die Sichtprüfung. Wenn das nichts bringt, geht´s ans Eingemachte - der Datenstrom. 2) Gibt es Fehlkonfigurationen auf den Rechnern (Übertragungsmodus, MTU)? Ist/sind die Netzwerkkarte(n) eventuell defekt? Finden sich viele ungültige Datenpakete (NACK, falsche Prüfsumme, Paketnummerierung nicht konsistent) im Datenstrom? Müssen viele Pakete darum neu angefordert werden? Gibt es Kollisionen trotz Switche und Full Duplex-Modus? Wenn du dir diese Fragen stellst und mit Hilfe diverser Tools die entsprechenden Antworten dazu suchst, wirst du irgendwann die Fehlerquelle finden. Damian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.