Jump to content

Gesamten Netwerkverkehr mitschneiden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo zusammen,

 

ich habe mal eine frage:

da wir zur zeit mehrere probleme mit unbefugtem datenzugriff von speziellen firmendokumenten haben, lasse ich sämtliche zugriffe auf die daten protokollieren.

seit gestern befinden sich mehrere zugriffe auch auf andere rechner statt mit dem benutzernamen "anonymous".

es ist nicht rauszufinden woher der zugriff kommt. das erreignisprotokoll spuckt leider nichts genaues aus.

der gastzugang ist auf sämtlichen rechnern deaktiviert.

hat jemand eine ahnung wie ich herausbekomme woher der zugang stattfindet?

gibt es eine möglichkeit den gesamten netzwerkverkehr mitzuschneiden von einem rechner aus, da ich wenn ich z.b. etherreal installiere, das ja nur die lokale netzwerkkarte mitschneidet.

gibt es ein tool mit dem es auch von einem beliebigen rechner geht?

 

folgende konfiguration:

2 linusserver

1 pdc nt server 4.0 (<-- ahhh!)

30 win2k clients

 

noch eine frage:

wir vermuten, daß es eventuell ein nutzer mit einem powerbook ist, der den zugriff auf die maschinen und die daten hat. leider kann ich dieses notebook nicht protokollieren. oder doch? gibt es die möglichkeit auch den mac mit zu protokollieren?

 

vielen dank für eure antworten.

 

gruß

 

ragnarok

Link zu diesem Kommentar

Hallo,

wenn du das an der anonymous anmeldung festmachst das es unbefugten Zugriff gibt, kann ich dich beruhigen.

Wenn ich mich recht entsinne , machen einige Dienste das im Netzwerk und du hast ne anonymous -Anmeldung. :cool:

WEiss jetzt nicht mehr genau wo man das findet, aber microsoft oder google , das kann man genau nachlesen...

Hab mich deswegwn auch schonmal verrückt gemacht, zumal bei frisch installierten Systemen. Fakt ist, was ich oben beschrieben habe und auch mit sniffern wirst du eben nix finden.

 

mit internettem Gruß

 

dongel

Link zu diesem Kommentar

Also ich würde mal die Software Sniffer Pro installieren von dieser gibt es sogar eine Demo. Danach mal nur die eine IP Adresse des Servers aufzeichnen. Am besten natürlich wenn du viel Zeit hast, damit du nur diesen Time Bereich durchkämen musst als so ein Zugriff stattgefunden hat. Im Netzwerkprotokollanalyzer siehst du dann schon mal von welcher IP auf den Server zugeriffen wurde und mit welchem Protokoll. Da kann sich auch kein Mac oder linux ect. davor verstecken. Wobei man abschliessend sagen muss dass dies gutes Netzwerkknowhow und eben Zeit voraussetzt.

WIr hatten erst kürzlich ein Problem bei uns zwar ganz andere Richtung DCHP Request gingen im Netz verloren. Nach rund 4 Tagen kammen wir dank Sniffer und anderen Tools und Messgeräten auf die schliche. Eine defekte Neztwerkkarte an einem Switch. Tja, aber hat ja gar nichts mit diesem Thread zu tun.

Link zu diesem Kommentar

Du kannst mit etherreal den ganzen Netzwerkverkehr mitloggen. Häng einfach eine Linuxkiste (Windows??) an einen freien Port des Switches und konfiguriere diesen so, dass er den kompletten Verkehr aufzeichnet.

Jeder einigermaßen vernünftige Switch kann einen Port für den kompletten Verkehr konfigurieren. Schau einfach mal im Handbuch des Switches nach.

 

Gruß

 

Jlo

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...