Wireshark mitloggen?

[Rumplst1lzchen]

Hallo Macuser,

ich möchte mittels einem Macbook darauf Wireshark 1.10.2 und XQuartz installiert den Netzwerktraffic von NUR meinem Mac Mini überprüfen.
Wie konfiguriere ich das am besten?

Ich denke am Mac Mini das Gateway des Macbooks eintragen aber was mach ich beim DNS?
Muss ich irgendwelche Voreinstellungen vornehmen den bei Windows kann ich mich noch erinnern war es Routing und RAS.

Macbook und Mac Mini beziehen derzeit über die Firewall ihre IP, am Mac Mini stelle ich das auf Manuell um und Gateway vom Macbook.
Was muss ich noch beachten?

Ist derzeit Neuland für mich jedoch sehr interessant

LG Linda

 

[ProjectBuilder]

den Netzwerktraffic von NUR meinem Mac Mini überprüfen.
Wie konfiguriere ich das am besten?

Ich würde z.B. einfach nach den MAC Adressen der Interfaces des Mac Mini filtern, die dich interessieren (also Ethernet und/oder Airport).
Die Frage ist allerdings, wie sind diese Geräte miteinander verbunden? Über einen Switch? Über Wifi?

 

[Rumplst1lzchen]

Ich würde z.B. einfach nach den MAC Adressen der Interfaces des Mac Mini filtern, die dich interessieren (also Ethernet und/oder Airport).

sehe ich dann den gesamten Netzwerkverkehr oder nur den Broadcast?

edit: ich habe es gerade versucht und ich sehe nicht den gesamten Traffic des Mac Minis.
ich möchte am Macbook jeglichen Traffic des Mac Minis sehen deshalb sollte das MacBook auch als Gateway für den Mac Mini gelten
ich hoffe ich drücke mich klar aus :sweat:

Die Frage ist allerdings, wie sind diese Geräte miteinander verbunden? Über einen Switch? Über Wifi?

Die Geräte hängen an einem Switch der im lokalen Netz hängt.

 

[Rumplst1lzchen]

Noch eine Info...
Das Macbook soll über die Firewall ins Internet raus. Kommt das nicht einer Man in the middle gleich?

 

[noodyn]

warum dann nicht einfach Wireshark auf dem Mini installieren?

 

[Rumplst1lzchen]

Hallo noodyn,
berechtigte Frage
weil ich mehrere Computer im Netzwerk habe und ich es als erstes bei einem versuchen möchte und danach alle Scannen soll

 

[Andi]

warum kein tcpdump auf dem Mini und dann auf dem MacBook mit Wireshark anschauen? Geht das überhaupt am Switch so ohne weiteres? Ich glaub unsere Netzwerker nehmen einen Hub dafür her.

 

[Rumplst1lzchen]

wie gesagt es ist alles Neuland für mich.

Das Szenario sieht Schlussendlich folgendermassen aus:
Ein Mac im Netzwerk scheint einen Virus etc zu haben und deshalb fällt stündlich das Internet aus. Provider kontaktiert und er meint ebenfalls Virus.
Nun soll ein Mac mit Wireshark vor der Firewall geschaltet werden um den gesamten Traffic des Netzwerkes zu untersuchen.
Dann wird bei jedem Client die Gatewayadresse und DNS des Macbooks mit Wireshark eingestellt. -> Ich hoffe ich mach das richtig

Das Netzwerk besteht aus ca 7 Clients und da ist Gateway und DNS schnell manuell umgestellt

 

[ProjectBuilder]

Die Geräte hängen an einem Switch der im lokalen Netz hängt.

Wenn der Switch einigermassen intelligent ist, dann kannst (und musst) du ihn so konfigurieren, dass er den Traffic des Ports des Minis an den Port des Macbooks weiterleitet. Also spiegelt.

Dies, oder den gesamten Traffic, sodass sich der Switch also so verhält wie ein Hub. Das nennt sich je nachdem z.B. Port Mirroring oder Monitor Mode oder was in der Richtung.

Details und Alternativen siehe hier:
http://wiki.wireshark.org/CaptureSetup/Ethernet

Wenn du den Traffic über das MacBook routest, dann siehst du nur den Traffic der ins Internet rausgeht, aber nicht den im LAN. Da du den gesamten Traffic sehen möchtest wäre das keine Lösung.

Ein Mac im Netzwerk scheint einen Virus etc zu haben und deshalb fällt stündlich das Internet aus. Provider kontaktiert und er meint ebenfalls Virus.

Das ist eher unwahrscheinlich. Aber da könntest du dir mal einen der Gratisscanner von Sophos oder Avast installieren, um das zu überprüfen.

 

[Rumplst1lzchen]

Wenn du den Traffic über das MacBook routest, dann siehst du nur den Traffic der ins Internet rausgeht, aber nicht den im LAN. Da du den gesamten Traffic sehen möchtest wäre das keine Lösung.

Das wäre mein Ziel, hab mich wieder mal nicht klar ausgedrückt, sry dafür.
Wie müsste ich mein Macbook konfigurieren das ich über das MacBook route?
Einen USB-Ethernet Adapter hab ich da ich ja einen zweiten Netzwerkanschluss brauche den ich dann zwischen Switch und FW hänge
Danke nochmals für eure tolle Unterstützung

edit: mit einem Hub wäre alles viel einfacher in meinem Fall doch so einen hab ich leider nicht zur Hand -.-
Danke für das tolle Wiki, jetzt ist mir alles viel klarer

 

[Andi]

Hallo Rumplst1lzchen,

warum wird denn das Internet geperrt? Wie gesagt Du hast auf den Macs tcpdump an Bord. Wireshark bereitet das nur optisch auf.
sudo tcpdump -w dateinamenachwahl.pcap
Das sollte sich mit Doppelklick in WS öffnen.

Gruß Andi

 

[ProjectBuilder]

edit: mit einem Hub wäre alles viel einfacher in meinem Fall doch so einen hab ich leider nicht zur Hand -.-

Am einfachsten wäre wie gesagt Port Mirroring auf dem Switch (bzw. ein lokaler Dump, siehe die Lösung von Andi). Geht das nicht?

 

[Rumplst1lzchen]

Hallo Andi,

Laut Provider dieses Kunden spamt o.ä. ein Client. Dies gilt es zu ermitteln welcher Client das macht.

wie meinst du das genau mit tcpdump, ich hab mir den Apple Artikel dazu durchgelesen und es steht gut beschrieben jedoch noch meine Frage:
Schleift mein MacBook automatisch die Verbindung zwischen Switch -> eth0 MacBook und USB-Ethernet -> Router durch? Ich meine dann müssten ja alle Clients eine Internetverbindung haben sobald ich das Gateway und DNS vom MacBook auf den Clients eintrage da das Macbook ja über die USB-Ethernet Schnittstelle mit dem Router verbunden ist.

Ich hoffe ich drücke mich wieder klar aus
Hier ein Bild wie meine Konstellation aussehen soll

Danke nochmals für eure Geduld :sweat:

 

[ProjectBuilder]

Wenn du auf dem Mac mini einen lokalen tcpdump machst, dann musst du sonst gar nichts verändern. tcpdump lässt du aber lokal auf dem Mac mini laufen, nicht auf dem MacBook, das ist der springende Punkt.

Das schreibt dir einfach sämtlichen Traffic der jeweiligen Maschine in ein File. Das würdest du dann einfach mal so lange mitlaufen lassen, bis das Problem auftritt. Dieses File kannst du dann z.B. auf dein MacBook kopieren und dort mit Wireshark öffnen.

 

[Andi]

Hallo Rumplst1lzchen,

ist das eine vorkonfigurierte Firewall vom Provider? PC-optimiert und die Macs wollen über exotische Ports nach draußen und die machen sicherheitshalber dicht?
Das tcpdump führst Du im Terminal der Clients aus und sicherst die Datei auf deinem MacBook und da schaust Du sie an.

Gruß Andi

 

[Rumplst1lzchen]

Vielen Dank euch beiden, mit dieser Variante werde ich es versuchen
Falls ich nochmals Fragen habe wende ich mich nochmals an euch.

Danke schön und nochmals danke

LG Linda

 

[Zitlo]

Hey, probier es mal mit "Debookee"

 

[Rumplst1lzchen]

Hallo Zitlo,

danke für den Tipp, werde ich mir ebenfalls ansehen -> Danke

eine Sache wollte ich dennoch noch fragen weil es mich interessiert.
Wie würde ich mein MacBook konfigurieren müssen damit die Konstellation auf obigen Bild funktioniert?

zu Andi und ProjectBuilder: tcpdump funktioniert perfekt DANKE
wow bin total happy juhuuuu

 

[ProjectBuilder]

Grundsätzlich kannst du mit dem Kommandozeilen-Befehl "route" IP-Routen anzeigen und auch ändern lassen.
Damit müsstest du dann eine sogenannte statische Route einrichten, vom einen Interface zum anderen (bzw. vom einen IP-Subnetz zum andern).

 

[magheinz]

Nimm dir einen Rechner mit zwei Netzwerkkarten und boote eine linuxlivecd. grml o.ä.
Damit kannst du eine bridge auf layer 2 bauen.
Dann könntest du den Rechner transparent ins Netzwerk einbauen und müsstest nichts an den clients ändern.
Es ist nie gut die clients umzukonfigurieren wenn man einen Virus/Wurm vermutet. Im dümmsten Fall merkt der das und du hast keinerlei Erkenntnisgewinn.
http://www.linux-magazin.de/Ausgaben/2004/12/Zugbruecke