Zum Inhalt springen

UDP Pakete mit Wireshark sniffen

Cellolein

Von Cellolein
in Netzwerke

 Teilen

Empfohlene Beiträge

Cellolein

Cellolein

Geschrieben
Geschrieben

Hallo zusammen,

auf einem System haben wir unglaublich viele Lese-Schreiboperationen pro sekunde. Wir konnten bereits ermitteln das es sich um UDP Pakete handelt.

Allerdings wissen wir nicht, von welchem Host die ganzen Operationen ausgeführt werden.

Meine Idee ist mit Wireshark den Netzwerkverkehr mitzuschneiden, natürlich auf UDP begrenzt. Ich kann Wireshark aber nicht auf dem System laufen lassen, da es sich dabei um einen Filer unserer Storage handelt. Also muss ich die Analyse von meinem Client PC ausführen.

Mit dem Capture-Filter: "host 192.1.2.69 && udp" (ohne Anführungsstriche natürlich ;)) schneidet er jedoch nur den Verkehr zwischen der NIC meines Clients und des Systems mit, nicht jedoch den Verkehr des gesamten Netzes.

Da meine Wireshark Kenntnisse gegen null gehen, hoffe ich irgendjemand kann mir hier einen wertvollen Tip geben bzw. mir die korrekte Syntax sagen.

Danke und Grüße,

Cello

dgr243

dgr243

Geschrieben
Geschrieben

ich gehe mal stark davon aus, dass du in einem geswitchten netz arbeitest.

wireshark (und jeder andere netzwerksniffer) kann aber nur den traffic einer collision domain erfassen. da du in nem geswitchten netzwerk mikrosegmentierung betreibst (jede client <-> switch verbindung bildet ihre eigene collision domain) kannst du also nicht den traffic einer anderen collision domain sehen. rein physikalisch schon nicht ;)

(ausnahme natürlich broad- und multicasts)

du musst also den traffic der collision domain zu dir bekommen. entweder durch nutzung eines mirrorports am switch oder durch eine sog. network tap, die du "ins kabel" zwischen dem betroffenen client und dem switch hängst.

allerdings ist das ganze mit kanonen auf spatzen schiessen. warum nutzt du nicht die funktionen des betriebssystems um festzustellen welche verbindungen dort vorhanden sind und genutzt werden?

@@@

@@@

Geschrieben
Geschrieben
hm... notfalls arp poisoning und mitsniff0rn?

nicht schick aber billig...

Du kannst auch dein Wireshark client zusammen mit dem Betroffenen System (also den Empfänger) an nen Hub hängen, ist aber im Produktivbetrieb unter Vollast auch nicht unbedingt eine schöne Lösung

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...