Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerkverkehr mitlesen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Netzwerkverkehr mitlesen

    Hi,
    weiß jemand ob ich den Netzwerkverkehr von einem Teilnehmer mit der IP-Adresse xy mitlesen kann? Anders gefragt: Welches Programm brauche ich dafür um das Protokoll eines Netzwerkteilnehmers mitlesen zu können.
    Ich hoffe das geht überhaupt.
    Bitte um Hilfe, danke
    Gruß Helmut
    Gruß Helmut

    #2
    Wireshark...
    http://de.wikipedia.org/wiki/Wireshark

    wobei die wahre "Kunst" das Verstehen des mitgehörten Traffic ist...
    EPIX
    ...und möge der Saft mit euch sein...
    Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur

    Kommentar


      #3
      Du brauchst zusätzlich einen Hub (KEIN Switch!!) oder ein Switch mit Monitoring-Port (mittlerweile ab 150€), wenn du einen ganz speziellen Rechner abhören willst.

      Und es ist empfehlenswert, einen Linux-PC als Sniffer zu verwenden, auf dem ansonsten keine Netzwerkressourcen aktiv sind, bzw. nur das, was du testen willst.

      Bei Windows gibt es permanent irgendwelche Dienste, die mal meinen, irgendwas senden zu müssen. Extrem unangenehm...

      Was da drüber aber läuft, dazu musst du verstehen, was du siehst. Das ist nicht ganz einfach
      Keine Garantie auf Richtigkeit! Bitte nicht zu Hause nachmachen!

      Kommentar


        #4
        Zitat von rb84 Beitrag anzeigen
        Du brauchst zusätzlich einen Hub (KEIN Switch!!) oder ein Switch mit Monitoring-Port (mittlerweile ab 150€), wenn du einen ganz speziellen Rechner abhören willst.
        Oder man benutzt Linux und verwendet Mac-Spoofing. Dann geht es auch mit einem Switch und man muß nichts neu verkabeln.
        Gruß

        Sascha

        Kommentar


          #5
          Zitat von no sleep Beitrag anzeigen
          Oder man benutzt Linux und verwendet Mac-Spoofing. Dann geht es auch mit einem Switch und man muß nichts neu verkabeln.
          Finde ich nicht so optimal...
          Bei den Switches ist das wesentlich komfortabler: Du kannst auch sagen: "Gib mir alle Pakete, die von Stecker 3 reinkommen".
          Dann gibt er dir diese, aber NICHT die die dort HIN gesendet werden!

          Du kannst dir damit auch den Traffic von Steckplatz 1 auf eth0 und Steckplatz 2 auf eth1 geben lassen usw.

          Das ist ein Segen, wenns um etwas Anderes als TCP/IP geht...
          Keine Garantie auf Richtigkeit! Bitte nicht zu Hause nachmachen!

          Kommentar


            #6
            Okay, danke für die Antworten.
            Habs jetzt mal getesetet, leider kann ich mit den Daten die hier ankommen nicht
            viel anfangen. Wie ihr schon richtig gesagt habt, ist es nicht leicht die Daten
            auszuwerten. Ich werd mich mal bemühen...
            Danke nochmal.
            Gruß Helmut
            Gruß Helmut

            Kommentar


              #7
              Sagen wir es mal so:

              Wenns was mit KNX zu tun hat und nicht total langweilig ist, kannst du es vielleicht hier posten. Die Wahrscheinlichkeit, dass jemand Interesse hat zu helfen ist meistens groß...

              *****

              Oder, wenns personenbezogene Daten enthält: Du sagst genau, worum es geht, Rest dann per PM klären...
              Keine Garantie auf Richtigkeit! Bitte nicht zu Hause nachmachen!

              Kommentar


                #8
                Hi,

                oder man kennt einfach die Möglichkeiten in Wireshark zu filtern. Bei Switch solte ein Mirror-Port existieren. Dort stellt man dann ein welcher Traffic auf Ports (Netzwerk-buchsen) auf welchen Port (wo dein Wireshark dran ist) hingespiegelt wird.

                Ein Switch ist nämlich eine schlaue Drehscheibe für Packete. Ohne das spiegeln des Verkehr schickt er die Packete nur auf die Ports die die Packete auch lesen wollen. Es kann dann also sein, dass du am Wireshark nichts davon mitbekommst.
                Deshalb Den Ports der belauscht werden soll auf den Port wo der Wiresharkdran hängt spiegeln, einstellung im Web-Admin des Switch.

                Ein Hub ist "dumm". Er schickt alle Packete an alle Ports. IMMER. Normalerweise will man das nicht. Hier wäre aber genau das von interesse.

                Dann in Wireshark dann das Interface wählen und capture = Aufzeichen starten. Dann den Stream = Datenfluss rausfiltern, Sender-IP z.B. .

                Den gefilterten kann man dann auch getrennt darstellen, auch was die Nutzdaten (payload) sind. Auch in Hex, etc.

                Suche man auf You-Tube nach Videos zu Wireshark. Da wird es super erklärt.

                Ist ein tolles Tool. Es lohnt sich da etwas Zeit zu investieren.

                Es ist da "Schweizer Taschenmesser" jeden Netzwerkers

                Viel Erfolg

                Gruß Tbi

                Kommentar


                  #9
                  Zitat von tbi Beitrag anzeigen
                  Hi,

                  oder man kennt einfach die Möglichkeiten in Wireshark zu filtern.
                  Hmm dann debugge mal mit den Filterfunktionen das hier:

                  2 Systeme, auf denen eine virtuelle Maschine gestartet wurde, die die SELBE Mac und die SELBE IP verwendete und ein Broadcast-Protokoll nutzte...

                  -> Ich halte von den Filterfunktionen zur Unterscheidung der Sender nicht allzu viel. Ich nutze das, um eben den Traffic EINES Systems übersichtlicher darzustellen.
                  Keine Garantie auf Richtigkeit! Bitte nicht zu Hause nachmachen!

                  Kommentar


                    #10
                    Hi,

                    ich denke Helmut hat ein normales Netz und nicht virtuelle Systeme. Die Filtermöglichkeiten im Wireshark sollten da ausreichen um den Traffic einer IP zu sehen.

                    PS: Multicast ist dann UDP-Traffic, kann man auch raus filtern. Habe es intensive bei der Fritzbox gemacht für IP-Routing. Die Korrektur ist übrigens nun offiziell bei AVM released worden .

                    Gruß Tbi

                    Kommentar


                      #11
                      Zitat von rb84 Beitrag anzeigen
                      Du brauchst zusätzlich einen Hub (KEIN Switch!!) oder ein Switch mit Monitoring-Port (mittlerweile ab 150€), wenn du einen ganz speziellen Rechner abhören willst.
                      Wenn man noch eine Netzwerkkarte rumliegen hat, kann man die zusätzlich in einen PC bauen und beide Netzwerkkarten im Bridge-Modus betreiben. Dann das abzuhörende Gerät in die eine Karte stecken und die andere wie gewöhnlich mit dem Switch verbinden.
                      Firma: Enertex Bayern GmbH, Ebermannstädter Straße 8, 91301 Forchheim
                      Amazon: KNXnet/IP Router
                      , KNXnet/IP Interface

                      Kommentar


                        #12
                        Zitat von rb84 Beitrag anzeigen

                        2 Systeme, auf denen eine virtuelle Maschine gestartet wurde, die die SELBE Mac und die SELBE IP verwendete und ein Broadcast-Protokoll nutzte...
                        Mal ne bescheiden Frage: wie hast du denn das an's laufen bekommen - zwei PC's mit identischer IP-Konfiguration (MAC UND IP) zu gleichen Zeit im gleichen Netz? Ohne Filterfunktion wirst du in einem normalen Netz mit mehr als 2 PC's nichts ausrichten.
                        ______________________
                        Grüße
                        Klaus

                        Kommentar


                          #13
                          Folgender Hintergrund:
                          Ich bekomm von einem Moxa die Daten (ph-Wert, Temp. etc.) von einem Pool.
                          Diese Daten möchte ich im HS umwandeln und auf die Visu bringen.
                          Das ganze, mit genau den gleichen Systemen, funktioniert bei einem anderen Bauvorhaben ohne Probleme.
                          Keine Ahnung warum, jedoch funktioniert es bei dem aktuellen Projekt nicht.
                          Lt. Hersteller beginnt das Protokoll mit STX SAPHIR usw. Wenn ich nun auf im HS eine IP-Auswertung mache, dann findet er die Zeichenfolge SAPHIR schon gar nicht. Deswegen wollte ich mir die Daten irgendwie anschauen, was genau von dem Moxa gesendet wird.
                          Ich hab jetzt mal zu Testzwecken das ganze Protokoll ich ein 14byte KO schreiben lassen, siehe Anhang. Das beginnt mit AA 77 ... usw.
                          Leider kann ich damit nichts anfangen, deswegen war meine Frage nach einem Prog. mit welchem ich den Netzwerkverkehr genau mitlesen kann.
                          Oder gibt es eine Möglichkeit diesen genannten Wert (AA 77 etc.) zu entschlüsseln?
                          Ich kenn mich auf dem Gebiet einfach zu wenig aus aber ich denke mal dass das ein Hex-Wert ist, oder?
                          Angehängte Dateien
                          Gruß Helmut

                          Kommentar


                            #14
                            Zitat von COD6 Beitrag anzeigen
                            Lt. Hersteller beginnt das Protokoll mit STX SAPHIR usw.
                            ... und nach eben solchen Strings kannst du u.a. bei Wireshark filtern.
                            ______________________
                            Grüße
                            Klaus

                            Kommentar


                              #15
                              Hallo Helmut,

                              du solltest vorne anfangen zu testen, an der Quelle, hier dem Moxa.

                              Um ganz sicher zu sein was am Moxa ankommt, bzw. raus geht, kannst du ja auf dem PC einen virtuellen COM Port einrichten und eine einfaches Terminal Program ranhängen.

                              Eine besonderheit bei RSR232 => IP ist das Auslösen der Übertragung des IP Packets. Hier kann man im Moxa einstellen, wodurch das Losschicken als IP Packets ausgelöst wird. Also wenn ein Zeichen oder Hex empfangen wird oder der Buffer eine max. Größe erreicht hat.

                              Dies must Du zuerst lösen bzw. prüfen. Wenn Du also schon eine andere Anlage damit hast, schau dir genau die Parameter im Moxa an.

                              Denn damit wird ja festgelegt was am ANFANG des Packetes drin steht.

                              Wenn das also in kontrollierter Form raus geht, kannst Du dich damit beschäftigen wie Du es in kontrollierte Form empfängst (im HS).

                              Dazu must Du es dann wieder vom virtuellen COM-Port weg nehmen und auf den UDP port senden lassen. ...

                              Du kannst es auch gleich mit Wireshark auf dem UDP port lesen, ist aber etwas anspruchsvoller. Würde ich am Anfang nicht empfehlen.

                              Wenn Du hier nach Moxa suchst, wirst Du noch viel dazu finden.

                              Gruß Tbi

                              Kommentar

                              Lädt...
                              X