ich suche einen guten Sniffer...

genfail · Beitrag von **genfail** » 18.09.2003 08:43:32

Hi,
wie oben bereits erwähnt, brauche ich einen Sniffer, um den raffic auf meinem Rechner zu analysieren... Irgendwie habe ich seit ner Woche ungeheuer viel connects von außen auf meinen REchner, anscheinend antwortet aber mein rechner auch... mich interessiert brennend, worum es sich bei dem Verkehr handelt.
Da ich aber ziemlich neu in der Linux Thematik bin, hab ich leider garkeine Ahnung, welche Sniffer gut sind (wenn möglich mit grafischem FrontEnd)

tylerD · Beitrag von **tylerD** » 18.09.2003 09:18:25

etherreal ( http://www.ethereal.com/ ). Nen bissel Einarbeitung und Bedienungsanleitung lesen ist aber notwending, dann isses aber nen dolles Tool

cu

genfail · Beitrag von **genfail** » 18.09.2003 09:39:57

Danke, werd ich heute abend gleich mal ausprobieren. Anleitungen und Einarbeitung ist nicht das Problem... bin ich schon gewöhnt, von der Umstellung auf Debian

schoppi · Beitrag von **schoppi** » 18.09.2003 20:52:00

tcpdump und netstat helfen dir auch bei der suche

genfail · Beitrag von **genfail** » 19.09.2003 09:40:23

So, ich habe mir jetzt gestern abend mal ethereal installiert, und bin damit voll zufrieden. das ist genau das, was ich gesucht habe.
Danke nochmal für den Tip.

crack · Beitrag von **crack** » 19.09.2003 12:28:35

Wenn du deinen Traffic graphisch darstellen willst geht für mich nix über ntop.
apt-get install ntop
Dann das er starten soll.
Nun noch ein fttp.//<ntop Rechner>:3000/ im Browser
und du bist glücklich.

Benny

tbals · Beitrag von **tbals** » 19.09.2003 12:32:24

Code: Alles auswählen

iptraf

ist auch ganz nett um zu sehen was der Rechner so netztechnisch macht

Thomas

genfail · Beitrag von **genfail** » 20.09.2003 13:12:59

hab ich mir jetzt mal alle notiert, aber ich glaube ich bleibe erstmal bei ethereal, das ist so ziemlich das, was ich mir so vorgestellt habe.
aber danke nochmal für die Tips

zorn · Beitrag von **zorn** » 01.10.2003 13:54:22

da ethereal mit Switchen nicht zurechtkommt empfehle ich noch zusätzlich ettercap!
Beider zusammen ist perfekt.

Rebell · Beitrag von **Rebell** » 01.10.2003 14:34:05

Mit welchem Sniffer kann man sich optional die Paketinhalte anzeigen lassen?

zorn · Beitrag von **zorn** » 01.10.2003 15:15:11

Ist ein Sniffer nicht genau dafür da?

Vinc · Beitrag von **Vinc** » 01.10.2003 16:04:53

zorn hat geschrieben:da ethereal mit Switchen nicht zurechtkommt empfehle ich noch zusätzlich ettercap!
Beider zusammen ist perfekt.

D.h ettercap kommt mit Switchen zurecht?
Wie soll das denn funktionieren?

Gruß,

Vinc

pdreker · Beitrag von **pdreker** » 01.10.2003 16:19:56

Wahrscheinlich kann ettercap die ARP Caches der Switches manipulieren (ARP poisoning), und dadurch kommen dann alle Pakete am Sniffer vorbei, statt direkt geswitched zu werden.

Bei uns an der Uni ist das ein Grund den Account dauerhaft entzogen zu bekommen (wenn man Informatik studiert ist das sehr sehr schlecht), da ARP Poisoning als Angriff gewertet wird, weil es den Betrieb der Switches erheblich stört.

Wenn das Dein eigenes Netz ist, bist Du natürlich frei zu tun, was auch immer Dir gefällt.

Patrick

Rebell · Beitrag von **Rebell** » 01.10.2003 16:21:06

zorn hat geschrieben:Ist ein Sniffer nicht genau dafür da?

Ja sorry, ich kannte nur tethereal, der war wie tcpdump.

pdreker · Beitrag von **pdreker** » 01.10.2003 16:23:12

auch tcpdump zeigt den Inhalt von Paketen. man tcpdump

Patrick