Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Wireshark Grundkurs

Intranet-Server wiederherstellen

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Wireshark zeichnet auftretende Probleme beim Betrieb eines Intranet-Servers auf. Der Ausschluss der passenden IP-Adresse behebt diese provisorisch.

Transkript

Dienst nicht verfügbar. Warum unser Intranet zur Zeit nicht zur Verfügung steht, dem wollen wir in diesem Video nachgehen. Wir haben hier einen HTTP-Fehler aus unserem Intranet. Das liegt auf der 192.168.100.5. Da ist ein Webserver. Und normalerweise soll dieses Spiel-Intranet so aussehen. Sieht man also, wie es normalerweise aussieht. Und wenn ich jetzt hier mal mit Shift+F5 die Seite neu lade, dann kann man ganz gut beobachten, da ist irgendwas im Netz, das haut nicht wirklich hin, das geht auch schon ziemlich langsam bis hin zum vollständigen Versagen. Dann gehen wir doch direkt auf den Intranet-Server und starten unseren Wireshark. Ja, da sind wir auch schon. Und dann legen wir gleich los mit unserem Mitschnitt. Wenn ich das hier schon sehe, hier geht es schon richtig zur Sache. Hier werden also ziemlich viele Pakete aufgelesen. Hier scheint also irgendwas im Busch zu sein. Jetzt warten wir ein paar Sekunden. Okay. Und dann können wir auch schon loslegen mit der Analyse. Gucken wir erstmal, welches Protokoll hier überhaupt betroffen ist, oder ob es mehrere Protokolle sind. Dazu gehen wir hier in die Protocol Hierarchy. Also, was sehe ich? Es dreht sich um IPv4, wird also keine v6-Adresse angegriffen. Es ist TCP und ich habe hier ganz klar das HTTP-Protokoll, das hier gerade ohne Ende aufgerufen wird und eben Daten transferiert. Das ist gut. Dann schließen wir das Fenster. Und gehen direkt wieder in die Statistics rein und holen uns mal eine allgemeine Statistik über die Quell- und die Zieladresse. Nicht dass es am Ende mehrere Adressen sind. Ja, und hier wird es auch schon völlig deutlich, wer hier mit wem spricht. Hier versucht die 150, das ist der Client, versucht jetzt zaghaft, mal ein bisschen was abzurufen. Aber in Wirklichkeit ist hier 192.168.100.10 wohl der böse Bube. Der ruft hier Websites ab ohne Ende, und zwar von der 100.5. Jetzt sind natürlich schon erste Maßnahmen erforderlich, wenn man das so sieht. Wir haben hier ein bisschen Zeit. Deswegen gehen wir gerade nochmal in die Statistics und gucken uns dann die Conversations an. Und zwar nicht hier auf dem Ethernet, sondern wir können hier wirklich gleich zur IP gehen. Und hier sieht man die Kommunikationspärchen, tatsächlich wie sie kommunizieren. Und hier kann man entsprechend dann eben nach den Bytes sortieren, wer hier mit wem kommuniziert und ich sehe es auch schon an der Paketgröße, wer hier meinen Webserver angreift. Gut, mehr brauche ich hier auch schon überhaupt nicht. Ich kann en Mitschnitt an der Stelle auch schon stoppen, sonst wird das Paket ziemlich groß. Und was können wir jetzt machen. In dem Fall haben wir hier einen einfachen Denial-of-Service-Angriff. Wir schließen jetzt erstmal diese IP-Adresse ganz fix aus. Das können wir hier über eine Regel machen. Das mache ich mal ganz fix ohne großartige Erklärung. Protokolltyp war TCP. Der Port war 80. Die Quell-Ports wählt er ja automatisch aus. Sagen wir Weiter. Und zwar für die IP-Adresse 192.168.100.10. Okay und Weiter. Und jetzt blockieren wir die Verbindung. Gut. Machen wir noch einen Mitschnitt und schauen nach, ob sich HTTP-technisch was getan hat. Natürlich, hier geht es jetzt schon nicht mehr so sehr zur Sache. Und jetzt gucken wir mal bei HTTP. Also, da passiert jetzt nicht mehr viel. Und das war jetzt natürlich die Sparlösung. Also wenn das jetzt anstelle eines Denial-of-Service-Angriff ein Distributed-Denial-of-Service-Angriff gewesen wäre, dann ploppen die IPs, von denen der Angriff kommt, schneller hoch, als Sie DDoS sagen können. Und da bringt das Ganze überhaupt nichts. Hier muss natürlich ein Intrusion Detection und ein Intrusion Prevention System rein. Da kann ich mit solchen kleinen Maßnahmen natürlich überhaupt nichts machen. Und der Traffic an sich, der kommt ja jetzt trotzdem noch. Das heißt, der Angreifer, der wird jetzt hier vermutlich nicht aufgegeben haben, er wird weiter drauftrommeln. Gleich gibt es ein Timeout bei ihm, wo das Ganze dann irgendwann gestoppt wird. Das ist ja aber nicht sicher. Jetzt muss man natürlich auf die 192.168.100.10 gehen und das Teil erstmal vom Netz nehmen, beziehungsweise die entsprechende böse Software finden, die dort drauf läuft. Was wir jetzt noch machen können, ist, den Client 1 nochmal zu besuchen und zu gucken, ob unser Intranet jetzt ein bisschen besser läuft. Und deswegen gehen wir jetzt rüber zu Client 1. So, und da sind wir auch schon. Und dann drücken wir nochmal Shift+F5. Und tatsächlich, das Intranet ist schon wesentlich schneller wieder da. Und ab jetzt können die Benutzer wieder arbeiten.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!