Jens Liedtke schrieb:
Es sind definitiv keine Update- und Time-Server und .mac nutze ich aus Prinzip schon mal gar nicht. Eine sinnleere DNS-Abfrage ergibt höchstens, dass ein DNS-Host nicht vorhanden ist (oder momentan nicht erreichbar);
...
Nun ja, es war nur ne Vermutung. Sinnleer ist IMO eine DNS Anfrage auch dann, wenn zwar der Name aufgelöst wird, dannach aber keine Kommunikation stattfindet. Habe eben nochmal meine Aufzeichnungen rausgesucht. Beim Login wird (zumindest unter Jagar un Panther) ohne ersichtlichen Grund der Name homepage.mac.com aufgelöst. Hat wohl mit lookupd zu tun, aber es werden definitiv danach keine Daten ausgetauscht. Möglicherweise ein bug, den es aber schon recht lange gibt.
Jens Liedtke schrieb:
...
ein Sniffer kann nicht alles widergeben, was versendet wird, schon gar nicht analysieren, was exakt in den Paketinformationen genau enthalten ist. Oder sollte ich mich da etwa grundlegen irren?
Jens Liedtke schrieb:
Was für Pakete wohin laufen ja, das kann man sehen, nichts anderes schrieb ich, den INHALT aber jener Pakete, den kann kein Sniffer darstellen. Lesen, Meister, lesen...
Och, da habe ich andere Erfahrungen gemacht
.
Gute Sniffer listen die Daten hierarschich gegliedert nach Netzwerklayern,, Headerinformationen, Protokollen , Content etc. auf und erlauben nach bestimmten Kriterien zu filtern und TCP Sessions zu verfolgen.
Da kannst Du Handshakes verfolgen, Passwörter aus dem Datenstrom fischen, Mails mitlesen, aufgerufene Webseiten aus den einzelnen Paketen samt Bildern wieder zusammensetzen, Authentifizierungen verfolgen (z. B. .htaccess), Routing-Protokoll Informationen abgreifen, TCP Header anschauen und so weiter.
Das funktioniert nicht nur mit TCP/IP Paketen sonden auch mit PPP, PPpoE (interessant z.B. dann, wenn man sein Kennwort vergessen hat, dieses aber noch in den Netzwerkeinstellungen eingegeben ist), ISDN, ARP und jeder Menge anderr Protokolle.
Was man nicht kann, ist verschlüsselte Datenströme entschlüsseln oder die Bedeutung von kodierten Daten ermitteln.
Was man aber auf jeden Fall kann, ist beobachten welche Rechner über TCP/IP (=Internet) miteinander kommunizieren.