Netzwerk verkehr Protokollieren

C

ChuckyTDA

Well-Known Member
Hallo@all,

bin absoluter FreeBSD Anfänger... hab zuhause ein LinkSys WLAN Router mit openWRT (Linux) der unser ganzes Netzwerk steuert mit PPoE (Internet), DHCP, etc...

Bei mir im Netzwerk werden ganz normale Notebooks mit Windows verwendet, ein FreeBSD Rechner ist auch fest dabei... jetzt müßte es doch möglich sein den Netzwerkverkehr zu Protokollieren?!

was z.B. über das www geht etc..

Ich könnte jetzt auch unter Windows bestimmte Tools im Hintergrund starten
und den Netzwerkverkehr mit aufzeichnen aber das ist nicht so wirklich das was ich mir vorstelle...

würde mich um Hilfe Tipps, etc. sehr freuen...

Viele Grüße

Chucky...
 
Am Einfachsten:
tcpdump -i *nic* -w /tmp/dumpfile
danach
tcpdump -r /tmp/dumpfile

oder Wireshark installieren, hatt ne nette GUI.

Willst du sehen, welcher Rechner auf welchen Seiten rumsurft?
Das geht so weit ich weiss mit Ettercap auch.
 
Zuletzt bearbeitet:
...

ja, ich möchte Internetseiten Protokollieren die besucht werden.

Allerdings alles ohne GUI.

Das alles wäre mit Ettercap oder tcpdump möglich??

Gibt es dazu auch Deutsche Anleitungen oder Beschreibungen dazu?


p.s. dank euch schon mal für die vielen Antworten...
 
ettercap...

Also ich bin mit ettercap besser klar gekommen und fand es übersichtlicher...

allerdings wären da ein paar fragen offen... die computer die im netzwerk gescannt werden sollen müßen eingeschaltet sein beim Sniff starten?! Weil man die Horsts auswählen muss...?!...

Dann würde mich interessieren wo er den sniff zwischenspeichert?
Weil der FreeBSD Server soll eigentlich nicht alles und jeden hintergrund scannen sondern nur den port 80 verkehr... und das den ganzen Tag... oder sollte es da keine probleme geben??

tcpdump ist auch recht gut, konnte nur kein web verkehr mit aufzeichnen....

Mir wär einfach nur Lieb, das ich meinen FreeBSD Server laufen lassen kann und er nur Protokolliert... IP Adresse blabla hat folgende Website besucht... Uhrzeit Datum... etc...

kann auch sein das ich mich zu doof anstell aber bitte habt rücksicht mit einem FreeBSD Noob :)
 
PROXY oder PFLOG?
Falls Du nur WWW-Verkehr aufzeichnen willst, böte sich ein Proxy an. Möchtest Du auch anderen Verkehr protokollieren, dann nutze doch einfach die Logfunktion vom Paketfilter PF.
 
openWRT

hab ja den LinkSys WRT54GL mit openWRT (Linux) mit dem wir alle ins Internet gehen,
kann man das dort irgendwie einstellen??

ich denk mal da ist der Proxy ja für alle tätig... weil der FreeBSD Rechner hängt im Internen Netzwerk....
 
Das Handbuch zum Router sagt er loggt defaultmässig alles (Seite 55).
Weiss aber nicht wo die Logs liegen, musst du suchen :D
 
...

Hab allerdings nicht mehr die Standart Firmware von Linksys Installiert :D

hab den Router mit openWRT (X-WRT) geflasht.. womit ich auch per SSH und Webinterface auf den Router (Linux) zugreifen kann.

Wäre wirklich interessant wo er so etwas loggt und wie man das auch mal wieder bereinigen kann.
 
Dann hast du eine sehr schön konfigurirrbare Plattform, der du neue pkgs unterjubeln kannst, z.B. nen Proxy etc.

Zwecks Logging mit dem Paketfilter hab ich das hier in google gefunden. Der dritte Post sollte dir helfen, dass sich die Logs füllen.
Der Fred ist aus einem OpenWRT Forum. Ansonsten habe ich leider keinen Plan von OpenWRT.
 
ChuckyTDA schrieb:
Hab allerdings nicht mehr die Standart Firmware von Linksys Installiert :D

hab den Router mit openWRT (X-WRT) geflasht.. womit ich auch per SSH und Webinterface auf den Router (Linux) zugreifen kann.

Wäre wirklich interessant wo er so etwas loggt und wie man das auch mal wieder bereinigen kann.
Zum Vergrößern anklicken....

Nochmal: RTFM. Diesmal ohne Links, die man mit Google recht einfach findet. Ja, so ist das: manchmal muss man zuerst selbst suchen.
Darüber hinaus gibt's noch einen weiteren Link: den zum Datenschutzgesetz der Bundesrepubilk Deutschland. Das war übrigens ein Wink mit dem Zaunpfahl.
 
....

@cheasy: Ist es so schlimm wenn man darüber im Netz fragen stellt? Klar, wenn ich mir Bücher kauf und alles Lese was ich nur kann, weiss ich es selbst auch. Nur wenn jemand schon erfahrung gemacht hat, geht das viel schneller. Wenn mich jemand was fragt, kann ich die Informationen so weiter geben.

der Datenschutz diesbezüglich ist mir klar, ich möchte dies auch nur bei mir Privat zuhause einsetzen. Erstmal zum Experementieren und zum eigenen Schutz vor Software der man heute leider nicht trauen kann. Mein zuhause bedeutet nur ICH und meine Freundin, die eingeweiht ist und nichts dagegen hat.

Aber ich danke dir wirklich sehr für deine Hilfe mit denn Links.. Ettercap ist wirklich sehr interessant. Bin gespannt ob ich für Windows eine Firewall finde die so etwas bemerkt, was ich mir schwer vorstellen kann. Obwohl es möglich sein müßte, da er die Packete nicht direkt abfängt sondern abhört und mein rechner ja dem antworten müßte?! ... mmhh...

@d4mi4n: Interessant... iptables sind mir auch schon durch den Kopf gegangen, allerdings das es auch wirklich die empfohlene Lösung dafür wäre, hätte ich nicht gedacht..
 
ChuckyTDA schrieb:
@cheasy: Ist es so schlimm wenn man darüber im Netz fragen stellt? Klar, wenn ich mir Bücher kauf und alles Lese was ich nur kann, weiss ich es selbst auch. Nur wenn jemand schon erfahrung gemacht hat, geht das viel schneller. Wenn mich jemand was fragt, kann ich die Informationen so weiter geben.
Zum Vergrößern anklicken....
Ein letztes Mal, diesmal mit Klartext: (Aus: "Wie man Fragen richtig stellt")

Bevor du fragst
  • Versuche, eine Antwort durch Suchen im Web zu finden.
  • Versuche, eine Antwort durch Lesen des Handbuches (Manuals) zu finden.
  • Versuche, eine Antwort durch Lesen der FAQ zu finden.
  • Versuche, eine Antwort durch eigene Untersuchungen und Tests zu finden.
  • Versuche, eine Antwort zu bekommen, indem du einen erfahrenen Freund fragst.

Alle Deine Fragen kann man mit minimalem Aufwand in Google finden, die Fundstellen liegen dann auch im Handbuch, z.B: OpenWRT und Logging: http://www.google.de/search?&q=OpenWRT+log+howto+site%3A.openwrt.org.

Nun zu den kniffligen Dingen:

Es gibt mehrere Möglichkeiten, den Netzwerktraffic zu überwachen:
  • Netzwerk-Sniffer wie tcpdump schreiben einfach allen Netzwerk-Traffic mit. Das kann sehr schnell zu sehr großen Datenmengen führen, die man nicht aufheben will.
  • Fortschrittliche Netzwerk-Sniffer wie Wireshark oder Ethereal können den mitgelauschten Netzwerk-Traffic filtern. und auch selektiv, z.B. nur die Header, speichern. Das vermindet das Platzproblem etwas, löst es jedoch nicht grundsätzlich.
  • Paketfilter wie ipfw oder pf können Netzwerk-Pakete loggen, jedoch nicht die Inhalte.
Will man ganze Netzwerke überwachen, bieten sich Paketfilter in Gateways, Routern oder Firewalls an. Netzwerksniffer können dieselbe Rolle übernehmen, benötigen jedoch mehr Speicherplatz zur Analyse. Einzelne Applikationen überwacht man schlauer mit einem Paketfilter auf der lokalen Maschine, will man nur den Web-Traffic analysieren dann legt man sich einen caching proxy, z.B. squid zu.
 
Ot

cheasy schrieb:
[*]Paketfilter wie ipfw oder pf können Netzwerk-Pakete loggen, jedoch nicht die Inhalte.
Zum Vergrößern anklicken....

...dem stimme ich nicht ganz zu:

log In addition to the action specified, a log message is generated.
Only the packet that establishes the state is logged, unless the no
state option is specified. The logged packets are sent to a
pflog(4) interface, by default pflog0. This interface is monitored
by the pflogd(8) logging daemon, which dumps the logged packets to
the file /var/log/pflog in pcap(3) binary format.***

log (all)
Used to force logging of all packets for a connection. This is not
necessary when no state is explicitly specified. As with log,
packets are logged to pflog(4).

(Auszug aus man pf.conf)

***in pcap(3) binary format => Auswertung mit tcpdump, ethereal etc...

LG Uwe
 
Könnte man nicht in diesem Fall einfach den ARP Verkehr monitoren und unbekannte mac addressen bzw. die zugehörige IP erkennen, und dann per arp-poisoning mit ettercap gezielt den Verkehr mitschneiden?
 
Dann monitor ihn mit arpalert, das schlägt Alarm bei unbekannten MAC Adressen. Blöd nur wenn der Unbekannte die MAC eines Andern spoofed.
 
Zuletzt bearbeitet:
Mal eine Bitte an alle: Ich rate dringend davon ab, jemandem die Verwendung von ettercap zu empfehlen oder den Namen dieses Tools auch nur zu nennen, wenn nicht absolut klar ist, dass derjenige weiss, welche Funktionen dieses Tool bietet und was diese inhaltlich bedeuten. Ihr tut weder euch einen Gefallen damit, noch demjenigen, dem ihr es empfohlen habt. Und im Zweifelsfall tut ihr auch unbeteiligten Dritten keinen Gefallen damit. Und bei der Frage/Bitte des OP ist die Antwort/Empfehlung "ettercap" weder notwendig noch besonders naheliegend gewesen.
 
Von der "Hersteller" Webseite:
Ettercap is a suite for man in the middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks.
It supports active and passive dissection of many protocols (even ciphered ones) and includes many feature for network and host analysis.
Zum Vergrößern anklicken....

Klar ist es ein Tool mit dem man ziemlich viel Mist anstellen kann. Es ist jedoch nicht auf irgendeinem Index, noch kommst du in den Knast, wenn dus bei dir daheim benutzt.
Wenn du nicht genau weisst was du macht, kannst du dir auch selbst ein Ei legen. Also entweder genau lesen was man sich da so zusammenklickt oder einfach lassen.

Hubert:
Ob und wie ers benutzt ist seine Sache, Luftdruckpistolen sind daheim auch für jeden erlaubt. Ein Auge kann man sich damit trotzdem ausschiessen und ja, den Nachbarn grantig machen ebenso.
Genauso mit nem grossen Küchenmesser. Er wollte wissen mit was man sein Problem lösen kann und Hilfe wurde geboten. Man könnte auch sagen mit ettercap hat er eine Motorsäge zum Brotschneiden -> zum Ziel kommt er leicht und ohne Probleme :D

NUR IM EIGENEN NETZ VERWENDEN
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben