Spezielle Analyse des Geschehens auf einer Datenleitung

[lefg 276]

Hallo Gemeinde,

 

unser Standort ist über eine "Datenleitung" an die Zentrale des Unternehmens angeschlossen; betrieben wird diese von einem Provider, ich habe keine Kontrolle darüber, bin für diese Leitung nicht zuständig.

 

Über diese Verbindung sind die Rechner des Standortes mit dem Wirtschaftsinformationssystem des Unternehmens verbunden. Mehrfach ist es vorgekommen, wir waren damit nicht arbeitsfähig, zu langsam, etwas anderes lastete die Leitung aus.

 

Beim letzten Mal schaute der Provider auf die Veranlssung die Verbindung an: Da sauge einer wie verrückt, das und nichts anderes wurde uns mitgeteilt, keine IP, keine MAC.

 

Ich könnte mich in solch einem Fall natürlich mit Bridge, Hub, Laptop und Wirshark an die Arbeit machen, finde das aber alles zu kompliziert, das müsste notfalls auch eine Sekretärin sehen können und den störenden Rechner abschalten.

 

Ich suche ein geeignetes Programm, einen Analyzer, der einfach grafisch die Auslastung der Leitung nach Clients aufzeigt.

 

Hat jemand bitte einen Tipp für mich?

 

Habt Dank für Aufmerksamkeit und Rat.

 

Edgar

[zahni 562]

Hi,

 

da hilft wohl nur ein Lan analyzer, den Du ind lAN-Kabel am Router steckst. ODer der Router hilft Dir mit irgendwelchen Statistiken.

 

Anbieter z.B, Network Troubleshooting, Monitoring, VoIP Analysis, Protocol, Forensics

 

-Zahni

[ToMMics 10]

Dir sollte klar sein das entsprechende Software nicht auf einem Client PC im Netzwerk installiert werden kann.

 

Alle Daten sieht nur der Gateway/Router der an der Datenleitung hängt. Falls diese eine Appliance ist, solltest du entsprechend schauen welche Optionen diese unterstützt.

 

Alternativ kannst du den traffic evtl über einen MirrorPort mit einem dedizierten "Analyse" Rechner auslesen.

[DukeJo 10]

Hallo Edgar,

 

neulich bin ich darüber gestoßen, vielleicht hilft dir das weiter: SecurActive, the new Network Behavior Analysis solutions - Home

 

Gruß,

Johannes

[LukasB 10]

ntop - network top

 

Kann man von Windows mit dem Browser her aufrufen...

[lefg 276]

Hallo Kameraden,

 

habt Dank für Tipps und Rat.

 

Wir brüten gerade über den Haushalt fürs nächste Jahr, für teure Analysesoftware ist da kein Geld über, die Vorschläge von -Zahni- und DukeJo scheitern leider daran.

 

Der Vorschlag ntop von Lukas ist schon gefällig von der Beschaffung, ich habe leider das von mir Gewünschte darin nicht gefunden. Es zeigt mir nicht den Tranfer einzelner Clients auf der Bridge als Test Access Point.

 

Nächste Woche erhalte ich ein Buch geliehen über Sniffing, soll geschrieben sein von einem Spezialisten und Entwickler, mal schauen, was da so drin steht.

 

Es ist mir klar, zum Sniffen im Feld wird ein TAP benötigt, im eigenen Hause tut es ein Mirrorport am Switch; heute habe ich festgestellt, die ProCurve 1700 können das doch.

 

Gruß

 

Edgar

[heuchler 17]

Was spräche gegen den Einsatz einer geeigneten Firewall?

Diese ist recht zügig eingerichtet und zum Testen auch kostenlos.

Hier hättest Du eine Statistik wer welche Seiten und zudem wieviel in X Tagen downloaded in Zusammenhang mit der IP.

Astaro bietet diese Appliances an...

Zum testen privat gibts sie sogar kostenlos... :-/

 

Grüße,

Daenni

[lefg 276]

Hallo Daenni,

 

danke für den Tipp.

 

Ich hole mir eine Testversion, falls es gefällt, dann muss ich mal nach dem Preis schauen und der Lizensierung. Für eine eigentlich selten gebrauchte Analysemöglichkeit Geld ausgeben, da muss ich mir eine gute Begründung überlegen; der Wireshark sei ausreichend, so werden die Gegner und die Revision argumentieren können.

 

Gruß

 

Edgar

[Dukel 457]

Gibt es nur eine leitung, über die auch der Internet Traffic läuft? Wäre es evtl. ne überlegung für das Internet eine extra Leitung zu beziehen?

[lefg 276]

Es ist so, eine Leitung. Es handelt sich um eine Unternehmensentscheidung.

[djmaker 95]

serversniff: Extracting Files from a tcpdump

 

Extracting Files from a tcpdump

I'm working as consultant, pentester and sometimes still as second-level-security guy for a rather huge company.

Occasionally I have to analyze tcp-streams, and occasionally I came to a point where i had to extract files out of huge dumps. What I found during my last research about a year ago was not really usable - i hacked together a few lines of perl to extract exactly what i wanted - this didn't deliver exact files, but was enough to help me solve a problem.

 

Jim Clausing, one of the more practical guys over at ISC described the same problem recently and asked the readers of the ISC-Blog for software that is able to extract files from pcap-dump. People came out with a load of promising solutions:

 

* NetworkMiner NetworkMiner Network Forensic Analysis Tool (NFAT) and Packet Sniffer

* tcpxtract tcpxtract)

* bro Bro Intrusion Detection System - Bro Overview)

* tcpflow tcpflow -- TCP Flow Recorder)

* foremost Foremost)

* dsniff dsniff)

* Chaosreader Chaosreader)

* pyflag PyFlag - PyFlagWiki)

* tcptrace tcptrace - Official Homepage)

* tcpick tcpick: a tcp stream sniffer, tracker and capturer)

* xtract.py http://www.malforge.com/npeid/xtract.py)

 

Not all of them might do exactly what you want - but this is defintely the best overview on pcap-file-extractors I ever came across.

 

[lefg 276]

Dank an djmaker

[lefg 276]

Was spräche gegen den Einsatz einer geeigneten Firewall?

Astaro bietet diese Appliances an...

Hallo,

 

dank nochmals für den Tipp.

 

Leider müsste ich dafür wohl einen extra Rechner als Plattform einsetzen. Eine alte Kiste wäre zu groß, kein Platz, eine Zigarrenkiste wohl nicht akzeptabel für die Revision. Ich werde trotzdem mal die Installation machen und mir das ansehen. Ob man das Ding in einer VM auf einem 2k3 oder XP aufen lassen kann?

 

Mir geht es ja nicht um den Einbau einer Firewall. ich will ja nur ein Analysetool zu einem betimmten Zweck.

 

Gruß

 

Edgar

bearbeitet 13. Oktober 2009 von lefg