im netzwerk sniffen

S

Stromer

0
hallo, ich führe gerade einige test in unserem heimischen netzwerk(2pc's) durch,
habe einen network sniffer installiert, filter auf internet <--> pc2 eingestellt, und überwache seitdem den datenverkehr zwischen dem pc am anderen ende der leiitung und des internets...
glücklicherweise konnte ich keine abnormalen aktivitäten (rpc probing, Backdoor, oder multiconnections) feststellen, obwohl ich bei den 4789 verbindung von diablo2 am anfang doch sehr skeptisch war ^^
jedenfalls suche ich jetzt nach einer möglichkeit den verkehr weitergehen zu überwachen, d.h. ich werde mir gleich einmal eine portliste suchen, um laufende programme aufzuspüren, aber ich frage mich ob ich geraded besuchte seiten mir anzeigen lassen kann...
ich dachte mir, dass ich den sniffer mal auf port 80 einstelle und dann die gelieferten TO IP's überprüfe, werdedn dass die addressen zu den internetseiten oder zu den servern sein?
bzw wie kann ich diese herausfinden?
hoffe meine erfahrungen in diesem bereich mit hilfe dieses forums erweitern zu können ...


GREETZ Stromer
 
werdedn dass die addressen zu den internetseiten oder zu den servern sein?
Zum Vergrößern anklicken....

du kriegst damit die ip´s der server, auf denen die seiten liegen, die entsprchenden url´s kannst du auch auslesen...

nur mal aus interesse: welchen sniffer benutzt du denn?

greetz,
Sneaker
 
hm, aber sind die addressen dann nicht verschlüsselt? ich werde gleich mal testen, und selber drüben ein bisschen surfen, um mir dann die logs mal anzugucken...
ich benutze NetworkActive PIAFCTM
 
ok, hab des gerade mal getestet, und heruagefunden, dass die header infos (date protokoll adresse) UNVERSCHLÜSSLET übertragen werden, ist ja auch logisch, bevor man die protokollspezifische verschlüsselung benutzen kann, muss man erstmal das protokoll kennen, um die logs NUR auf die addresse zu reduzieren, empfehle ich als filter den string "location" zu benutzen, dieser hat den wert der addresse die aufgerufen wird...
 
Original von Stromer
dass die header infos (date protokoll adresse) UNVERSCHLÜSSLET übertragen werden,
Zum Vergrößern anklicken....

da du schreibst, dass du http sniffst ist das ganye packet unverschluesselt.....hingegen bei https wird der ganze inhalt verschluesselt. somit findest du dort nicht heraus, nach welcher seite gefragt wurde.
 
so, da mein kleiner bruder am pc2 andauernd diablo2 spielt, empfange ich zigtausende datenpakete die ausgetauscht werden, alle auf port 1381, ich habe daraufhin - natürlich in absprache mit meinem bruder- in delphi ein kleines client programm geschrieben, welches auf diesen port connected, und sofort wieder disconnected, und diesen vorgang sooft wiederholt, bis ein integer wert den der benutzer vorhereingegeben hat erfüllt ist, das ergebnis war jedoch ernüchternd, die verbindung wurde nur kaum merklich gestört, jetzt will ich noch 2 möglichkeiten ausprobieren, und eure meinung darauf hören:
1.) ´multiple connections: ich möchte nicht nur einen client nehmen sondern eine vielzahl, welche dann auch über eine mehrzeahl von timer laufen werden, würde das den traffic erhöhen?

2.) daten senden: nach dem connecten auf den diablo2 "input-port" sollen daten gesenden werden, mit den der prozess nichts anfangen kann, ich bin mir über die reaktion nicht bewusst, ob sie einfach ignoriert werden, oder zu fehlern führen, so oder so sie müssen empfangen werden, und schränken so den internetverkehr ein, stellt sich nur die frage, wie ich string in delphi nach dem connecten versende ...
ich werds wohl mal mit den indys versuchen

schreibt doch bitte eure meinungen und antworten zu meinem "projekt"

greetz stromer
 
versuch doch mal die verbindung halboffen stehen zu lassen und dann neu zu connecten ( am besten unter ner anderen oder ner gefälschten ip ). wenn du genug verbindungen öffnen kannst, solltest du dem server damit ziemlich aufn sack gehn :D
 
ich wollte eigentlich nicht "dem server ordentlich auf den sack gehen " :D
das wäre illegal,und wohl auch ein wenig zu hoch gegriffen, da meine connection wohl schlicht nicht ausreichen würde (normales dsl), sondern nur das game meines bruder ein wenig zum laggen oder abstürzen bringen ...
das mit deiner idee möglichst viele connections aufrechtzuerhalten ist interessant,
da ich bis jetzt immer nur connected und dann sofort disconnected habe,
das mit den verschriedenen ips ich imo erstmal ausgeschlossen, ich kümmer mich jetzt erstmal um die multiple connections, wie viele sollten ca gleichzeitig aktiv sein?
sollen die aktiven wirklich nur idlen?
 
wenn du in laggen willst, solltest du mögichst viel traffic auf die leitung bringen, dann sollte sein ping in die knie gehn.

zu den connections: ich denk mal wenn sie außer ideln noch was anderes machen, kann das nicht verkehrt sein, jede anfrage kosten ihn nunmal rechenzeit und je mehr du ihm weg nimmst, desto schlechter kann er sich um andere geschichten ( z.B. Diablo ) kümmern. Was ich oben beschrieben hab ist übrigens ne Denial of Service Attacke, wenn du danach googelst findest du bestimmt mehr infos als ich dir geben kann...

greetz,
Sneaker
 
wir haben unsere versuche jetzt mittlerweile aufgegeben, da meine fingerchen langsam müde werden, und mein bruder auch mal wieder ordentlich spielen will :rolleyes:
aber wir hatten jedefnalls schonmal erste erfolge :)

ich teste jetzt gerade an einem auf meinem pc eingerichteten ftp server rum
(War FTPd 1,82), aber man braucht schon eine menge traffic um dem server den hahn abzudrehen, wäre aber trotzdedm nochmal daran interessiert, wie sich prozesse verhalten, wenn sie über ihren port daten(strings?) erhalten, aber diese nicht verarbeiten können, z.B. wenn das spiel diablo die positionsangaben der anderen spieler erwartet, aber stattdessen einfach ne sinnlose zeichenkette erhält?

und noch was, in DoS exploit codes die so im internet herumschwirren wird (fast) immer verbindung zu einem port aufgenommen, und dann ein string im dezimal (hexadezimal?)system übermittelt, was hat es damit auf sich?
besteht vielleicht hier eine verbindung zu meinem projekt?
werden hier vielleicht verschlüsselte befehle versendet, mit welchen der server nichts anfangen kann?
irgendwie bringe ich diese zeichenketten immer mit dem wort "buffer" in verbindung, stimmt das so? wie setzen sich solche buffer zusammen, wie benutzt man sie

greetz stromer
 
boah, könnt ihr bitte mal schaun(delphi):

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, IdTCPConnection, IdTCPClient, IdBaseComponent,
IdComponent, IdUDPBase, IdUDPClient, Sockets;

type
TForm1 = class(TForm)
Edit1: TEdit;
Edit2: TEdit;
Button1: TButton;
TcpClient1: TTcpClient;
Edit3: TEdit;
procedure Button1Click(Sender: TObject);
private
{ Private-Deklarationen }
public
{ Public-Deklarationen }
end;

var
Form1: TForm1;

implementation

{$R *.dfm}

procedure TForm1.Button1Click(Sender: TObject);
var i : integer;
begin
for i := 1 to strtoint(edit3.text) do begin
tcpclient1.RemoteHost := edit1.Text;
tcpclient1.RemotePort := edit2.Text;
tcpclient1.Connect;
tcpclient1.Disconnect;
end;

end;

end.

das ist das programm, welches auf den diabloport ( welches ist das eigentlich ich nehme einfach immer einen von denen die mir im sniffer angezeigt werden.)
connected und dann gleich wieder disconnected, anscheinend reicht das aber vorne und hinten nicht, da die netzwerkauslastung nur bei mageren 0,7 % liegt, was soll ich machen um den port drüben richtig zu überlasten?
 
Original von soox
Original von Stromer
dass die header infos (date protokoll adresse) UNVERSCHLÜSSLET übertragen werden,
Zum Vergrößern anklicken....

da du schreibst, dass du http sniffst ist das ganye packet unverschluesselt.....hingegen bei https wird der ganze inhalt verschluesselt. somit findest du dort nicht heraus, nach welcher seite gefragt wurde.
Zum Vergrößern anklicken....

Nur die Payload wird verschluesselt. Wer, wann mit wem kommuniziert hat und wieviele Daten dabei uebertragen wurden laesst sich nachvollziehen.
 
öhm...

Wenn jemand Lags verursacht, während er im Battle.net(D2 Net) connectiert ist, sind sämtliche Spieler im Game auch von den Lags betroffen, weil der Server bei Lags immerwieder versucht zwischen dem Server und den Clients zu synchronisieren, und je nach den Protokollen die im Battle.net laufen bedeutet dies, der Server wartet auf den langsamsten Client, also Lag für alle :rolleyes:
 
RE: öhm...

das soll natürlich nicht sinn der sache sein, ausserdem habe ich das projekt d2 aufgegeben, da der port eh minütlich wechselt, und man mit purem connecten nicht viel anrichten kann, effektiver ist imo pingen, muss aber mit anderen internetanwendungen erstma testen
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben