Jump to content

Gesamten Netwerkverkehr mitschneiden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

hallo zusammen,

 

ich habe mal eine frage:

da wir zur zeit mehrere probleme mit unbefugtem datenzugriff von speziellen firmendokumenten haben, lasse ich sämtliche zugriffe auf die daten protokollieren.

seit gestern befinden sich mehrere zugriffe auch auf andere rechner statt mit dem benutzernamen "anonymous".

es ist nicht rauszufinden woher der zugriff kommt. das erreignisprotokoll spuckt leider nichts genaues aus.

der gastzugang ist auf sämtlichen rechnern deaktiviert.

hat jemand eine ahnung wie ich herausbekomme woher der zugang stattfindet?

gibt es eine möglichkeit den gesamten netzwerkverkehr mitzuschneiden von einem rechner aus, da ich wenn ich z.b. etherreal installiere, das ja nur die lokale netzwerkkarte mitschneidet.

gibt es ein tool mit dem es auch von einem beliebigen rechner geht?

 

folgende konfiguration:

2 linusserver

1 pdc nt server 4.0 (<-- ahhh!)

30 win2k clients

 

noch eine frage:

wir vermuten, daß es eventuell ein nutzer mit einem powerbook ist, der den zugriff auf die maschinen und die daten hat. leider kann ich dieses notebook nicht protokollieren. oder doch? gibt es die möglichkeit auch den mac mit zu protokollieren?

 

vielen dank für eure antworten.

 

gruß

 

ragnarok

Link to post

Hallo,

wenn du das an der anonymous anmeldung festmachst das es unbefugten Zugriff gibt, kann ich dich beruhigen.

Wenn ich mich recht entsinne , machen einige Dienste das im Netzwerk und du hast ne anonymous -Anmeldung. :cool:

WEiss jetzt nicht mehr genau wo man das findet, aber microsoft oder google , das kann man genau nachlesen...

Hab mich deswegwn auch schonmal verrückt gemacht, zumal bei frisch installierten Systemen. Fakt ist, was ich oben beschrieben habe und auch mit sniffern wirst du eben nix finden.

 

mit internettem Gruß

 

dongel

Link to post

Also ich würde mal die Software Sniffer Pro installieren von dieser gibt es sogar eine Demo. Danach mal nur die eine IP Adresse des Servers aufzeichnen. Am besten natürlich wenn du viel Zeit hast, damit du nur diesen Time Bereich durchkämen musst als so ein Zugriff stattgefunden hat. Im Netzwerkprotokollanalyzer siehst du dann schon mal von welcher IP auf den Server zugeriffen wurde und mit welchem Protokoll. Da kann sich auch kein Mac oder linux ect. davor verstecken. Wobei man abschliessend sagen muss dass dies gutes Netzwerkknowhow und eben Zeit voraussetzt.

WIr hatten erst kürzlich ein Problem bei uns zwar ganz andere Richtung DCHP Request gingen im Netz verloren. Nach rund 4 Tagen kammen wir dank Sniffer und anderen Tools und Messgeräten auf die schliche. Eine defekte Neztwerkkarte an einem Switch. Tja, aber hat ja gar nichts mit diesem Thread zu tun.

Link to post

du kannst dir den sniffer ethereal ziehen und mit diesem den grsamten traffic aufzeichnen, ganz egal welches protokoll benutzt wird. nach den ersten groben auswertungen kann du dann captire filter definiren, damit die log nicht so unübersichtlich gross werden ...

Link to post

Du kannst mit etherreal den ganzen Netzwerkverkehr mitloggen. Häng einfach eine Linuxkiste (Windows??) an einen freien Port des Switches und konfiguriere diesen so, dass er den kompletten Verkehr aufzeichnet.

Jeder einigermaßen vernünftige Switch kann einen Port für den kompletten Verkehr konfigurieren. Schau einfach mal im Handbuch des Switches nach.

 

Gruß

 

Jlo

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...