[HaBo]

Holle

Anzeige

Hallo zusammen.

Ich bin neu hier und starte gleich mit einer Frage.

Ich habe folgendes Netzwerk:

DSL - Switch - LAN - PC1
..................... -WLAN - PC 1
..................... -WLAN - PC 2

Sprich PC 1 ist sowohl über LAN, wie auch über WLAN mit dem Switch verbunden, PC 2 ist nur über WLAn mit dem Router verbunden.

Einige werden jetzt sicher sagen, warum doppelt?
Die WLAn-Verbindung an PC 1 dient ausschliesslich dem Sniffen von PC 2, da es von der LAn-Verbindung nicht möglich ist (ist halt ein Switch und kein HUB).


Nun zum eigentlichen Problem.

Der Anschluß läuft auf meinen Namen und somit bin ich auch dafür verantwortlich.
Der Mitbenutzer über WLAN bekam von mir die strikte Auflage kein Filesharing zu betreiben, aber ständig flackert die WLAN-Lampe am Switch (ununterbrochen) und wenn ich zu ihm rauf gehe dauert es etwas bis er die Tür öffnet und danach ist die Lampe am Switch wieder ruhig.
Mit anderen Worten, er versucht mich an der Nase herumzuführen.

Ich möchte ihn nicht die Verbindung kappen, ohne ihm beweisen zu können, daß er doch Filesharing betrieben hat.
Aus diesem Grund habe ich meinen PS ebenfalls per WLAN verbunden und den Datenverkehr mitgelogged (mit Etereal), aber wie bekomme ich nun anhand der Datenpakete heraus ob er Filesharing berteibt oder nicht?

In den Datenpakten taucht lediglich NeBios auf Port 137 / 138, aber selbste meine eigenen Pakte zeigen nicht mehr an, obwohl ich definitiv surfe, usw.

Wie muß ich Ethereal nun konfigurieren, daß auch Pakete angezeigt werden, mit denen ich Filesharing nachweisen kann?

Vielen Dank,
Holle

naked_chef

sniffst du den auf dem richtigen interface?
verwendest du eventuell einen filter im ethereal?
läuft die WLAN karte im monitor- mode?

aber gleich vorne weg, wenn der andere Teilnehmer ein findiges kerlchen ist. findet er immer eine möglich keit dich an der nase herum zu führen. Stichwort (SSL-Tunnel & co.)

wenn er nur surfen soll kannst du ihm aber die bandbreite begrenzen, auf ein minimum das saugen keinen sinn mehr macht !

Holle

Hallo,
erstmal danke für die schnelle Antwort.

Die Idee mit der Trafficbegrenzung ist ja anfürsich ganz gut, aber dann könnte er auch nicht mehr Online spielen, da dieses das traffic ruckzuck aufbrauchen würde.

So ein findiges Kerlchen ist der nicht, denn der hatte nichtmal eine Ahnung daß man an der LED am Switch sehen kann wenn Daten fliessen.

Ich verwende definitiv das richtige Interface (den WLAN-Stick) und es wurden ja auch Pakete von ihm gelogged, aber halt nur mit Netbios, aber nichts anderes.
Komisch ist auch da0 als Destination immer nur "192.168.2.255" angezeigt wird.
der Switch hat die IP 192.168.2.1 und mein Ziel hat die IP 192.168.2.33, was also hat das mit der 192.168.2.255 auf sich?

Ein par weitere Daten zum Netzwerk:
-128 Bit-WEP-Verschlüsselung
-MAC-Filterung
-versteckte SSID

Die Verschlüsselung und die versteckte SSID stellen anscheinend kein Problem dar, da ich diese Daten ja in der Konfiguration des Sticks eingegeben habe und ich kann ja auch Pakete empfangen. Die MAC-Filterung sollte auch kein Problem sein, da sich ja beide im WLAN befinden und die Funkwellen ja grundsätzlich beide Sticks erreichen (deshalb habe ich ja zusätzlich ein WLAn-Stick angeschlossen).

Das kann eigentlich nur an den Einstellungen in Ethereal liegen.

Edit:
Ich hatte ganz vergessen auf deine Frage mit dem Filter einzugehen.
Ich habe alle Filter gelöscht und seine IP und seine MAC als Filter eingegeben. Vorher hatte ich die Standardeinstellungen gelassen und da hatte ich genau das gleiche Ergebnis, nur daß meine Pakete auch aufgezeichnet wurden.

maedmexx

Ich habe mal testweise Wireshark (Ethereal Nachfolger) installiert und in der Standardeinstellung sofort alle *Mule-relevanten Verbindungen angezeigt bekommen. (siehe Screenshot). Vielleicht versuchst Du's auch mal mit Wireshark?

Angehängte Grafiken

wireshark.gif (99,8 KB, 1922x aufgerufen)

joscha

also von mir aus sollte es kein problem mit ethereal geben.
prog starten, optionen, interface(deine wlankarte) auswählen und starten.

ansonsten koenntest du noch einen portscan an seinem rechner durchfuehren und schauen ob gewisse filesharing ports geoeffnet sind.

naked_chef

Ich muss dir da kurz ins wort gehen, wireshark = ethereal! es ist der selbe code aber ein anderer name.
aus diesem grund kann es sein, dass auch ein update auf wireshark keinen erfolg bringt.

es wäre tatsächlich eine versuch wert, wen du einen Protscan machst, am besten mit nmap und alle möglichen Prots (65535).

Abnormalitäten im oberen port-range kannst du dann mit google nachprüfen.

es hört sich bei dir aber ehr so an als könnte dein stick kein monior-mode bzw er ist nicht aktiv!
deswgen ist klar das du broadcast packete bekommst aber andere nicht siehst!
da sie von der wlan-karte verworfen werden.

Holle

Erstmal vielen Dank für die Tipps. Ich werde es mal mit Wireshark versuchen, vielleicht habe ich damit Glück.

Warum bin ich eigentlich nicht selber auf die Portscan Idee gekommen?
Das wäre doch das einfachste.

Andersrum würde ich dann immer noch nicht sehen wenn er z.B. mit IRC saugt.

Naja, jetzt muß ich sowiso erstmal abwarten, da die LED nur dann stundenlang flackert wenn er glaubt daß ich nicht daheim bin.

Gruß, Holle

MrGraY

...um dem bösen Filesharer seine Schandtaten genau nachzuweisen, könntest du auch einfach einen Proxyserver als Standardgateway für Ihn dazwischen setzten, dann siehst du alle Verbindungen...

Holle

Naja, dazu müsste mein PC aber immer an sein.
Er macht da ja nur dann, wenn er glaubt, daß ich nicht daheim bin.

Mieze

Hierzu hätte ich auch mal eine Frage: gibt es irgendwo eine Art Übersicht die mir sagt wie ich die mit Etheral gewonnenen Daten auswerten kann ?
Bisher ist das für mich nur eine riesengroße Ansammlung von Daten, die mir nur sehr wenig sagt.

Gulliver

zb

http://www.nwlab.net/guide2na/netzwe...se-filter.html

Mieze

Vielen Dank für den Link !