Auffälliges verhalten im Netzwerk erkennen?

#0
26.06.2008, 16:14
Member

Beiträge: 36
#1 Hi

ich hätte gern mal gewusst wie ich mit meinem Netzwerkmonitor der die verschiedensten Pakete aufzeichnet erkennnen kann, welche Pakete verdächtig sind und welche nicht.

ich benutze das programm: Packetyzer. habe leider nicht so viel ahnung beim scannen komemn so viele pakete mit denen ich nicht viel anfangen kann.

Ziel ist, zB irgdnwelche zugriffe auf meinem PC zu erkennen


danke für eure Hilfe.
Seitenanfang Seitenende
27.06.2008, 13:35
Member

Beiträge: 647
#2 Handbuch lesen und entsprechende Filter passend zur Zielvorgabe setzen.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
08.10.2008, 23:31
Member

Themenstarter

Beiträge: 36
#3 soo ich hab nun mal smartsniff rausgepacvkt, das tool ist klein und gut scheint es mit..

nur wie kann ich dort erkennen, wenn Zb jemand ein rootkit bei mir auf dem rechner installiert hat?

irgdnwelche besonderen merkmale oder so auf die man achten kann?
Seitenanfang Seitenende
09.10.2008, 12:05
Member

Beiträge: 647
#4 Sicherlich gibt es besondere merkmale, die aber mit blossem Auge herauszufiltern, mhmmm... ich glaube das was du am eheseten suchst ist ein IDS, ein Intrusion Detection System.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
09.10.2008, 12:57
Moderator
Avatar hevtig

Beiträge: 2307
#5 Ich denke auch, daß dafür ein IDS oder IPS besser geeignet wäre.
Ich meine, was soll der Paketsniffer denn machen? Der liest die Pakete mit, mehr nicht.
Gehst du auf eine Webseite kannst du den http Stream mitschneiden. Installiert die Webseite Malware auf deinem Rechner wird das über den http Stream übertragen. Den zu überprüfen braucht aber sicherlich viel Ausdauervermögen, wenn man es per Hand machen möchte...

Du hast ja anscheinen schon ein wenig den Sniffer laufen lassen und auch gesehen, was und wieviel da mitgeloggt wird. Da musst du schon ganz genau wissen, was du suchst, bevor du da was findest...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
10.10.2008, 12:29
Member

Themenstarter

Beiträge: 36
#6 hmm oke ja das stimmt schon.. die pakete sehen alle sehr gleich aus und nur weil da was verschlüsseltes in einem paket zu erkennen ist heisst es auch bestimmt nicht immer das nen ssh tunnel oder ähnliches verwendet wurde oder?

hmm.. also von diesem IDS und IPS hab ich noch nichts gehört, könntet ihr mir das evtl. ein paar infos geben?
Seitenanfang Seitenende
11.10.2008, 22:08
Moderator
Avatar hevtig

Beiträge: 2307
#7 Hier erstmal die Infos:
IDS
IPS

Zitat

die pakete sehen alle sehr gleich aus und nur weil da was verschlüsseltes in einem paket zu erkennen ist heisst es auch bestimmt nicht immer das nen ssh tunnel oder ähnliches verwendet wurde oder?
Verschlü+sselt heißt erstmal nur verschlüsselt. Welches Programm da was irgendwie verschlüsselt hat ist kaum zu erkennen. Evtl. ist der zielport aussagekräftig.
Bei einem Netzmonitor siehst du halt nicht, welches Programm was gemacht hat, sondern meist nur Quoell- und Zielport (-adresse, -etc.)
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: