TCP/UDP Port Logging?

**Assarbad**

Um den Übeltäter zu finden, möchte ich jetzt die vergebenen Ports inkl. Anwendungsnamen mitloggen, da ich ja die Zugewiesenen Ports zu einer bestimmten Zeit in Wireshark sehe.

Warum nicht erstmal gucken welche Ports von welchem Prozeß geöffnet werden? Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht. Vielleicht habe ich aber auch die Option nur bisher übersehen, lasse mich da gern positiv überraschen

Ich würde bspw. allerlei Dinge wie geplante Aufgaben (oder bei Cygwin/SUS einen cron-Job) als erstes als Ursache ausschließen. Ansonsten suchst du dir nen Ast ohne konkreten Anhaltspunkt.

Die Frage wäre ja auch, ist der Anmeldeversuch einer der einem bekannten Protokoll folgt (bspw. SMB)? Oder ist es bspw. Klartext?

Zum mitschreiben würde ich als geplante Aufgabe

tcpvcon immer den aktuellen Stand (mit Zeit/Datum) an eine Textdatei anhängen lassen.

**shmia**

Zitat von Assarbad:

Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht.

Hier kann der

Microsoft Network Monitor 3.4 punkten.
NetMon zeigt sehr schön, welche Pakete zu welchem Prozess gehören.

**Assarbad**

Zitat von shmia:

Hier kann der

Microsoft Network Monitor 3.4 punkten.
NetMon zeigt sehr schön, welche Pakete zu welchem Prozess gehören.

Danke für den Hinweis.

Den blende ich irgendwie immer aus, obwohl er ja mittlerweile frei erhältlich ist.

**alphanumeric**

servus,

vielen dank für eure Antworten & Tipps - das mit der firewall ist ansich ne gute idee, aber soweit ich weiss verbieten es die lokalen domänerichtlinien. Tasks etc. haben wir bereits ausgeschlossen, sql server ist runtergefahren und tüfteln mittlerweile schon einige Wochen damit herum, leider ohne erfolg. Vor ca 2 Wochen hatten wir festgestellt dass der Rechner die Aktionen immer zur gleichen Uhrzeit in der Mittagspause gestartet hat, allerdings ließ sich trotzalldem nichts mit Wireshark und netstat finden.

Zum Network analyzer: den hatte ich bisher nur für windows xp gefunden, dort erkennt man also, welcher prozess welchen port benutzt? bzw seh ich dort das gleiche wie in wireshark, nur inkl. der prozesse, die darauf zugreifen?

**mleyen**

cmd -> netstat -ano und dann die PID im Taskman suchen

**Assarbad**

Zitat von alphanumeric:

Zum Network analyzer: den hatte ich bisher nur für windows xp gefunden

Network Monitor.

Du hast aber noch immer nicht beantwortet welche Informationen die bisher mit WireShark abgefangenen Pakete schon liefern. Bspw. welches Protokoll.

**alphanumeric**

whoops,

also das sind kerberos Pakete. Die Pakete laufen über die öffentlichen 50000er Ports und haben soweit ich das noch in erinnerung habe meinen Username als Klartext enthalten. Mehr ließ sich bislang auch nicht mit dem Network Monitor rauskriegen. Der zeigt bei den Paketen keine Prozesse an.

**rollstuhlfahrer**

Wenn also dein Username drin steht, hast du den auf dem Rechner des Kollegen schon mal eingegeben? - Und die Probleme treten erst seitdem Punkt auf, an dem du dein PW geändert hast?

Bernhard

TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

AW: TCP/UDP Port Logging?

Forumregeln

shmia Registriert seit: 2. Mär 2004 5.508 Beiträge Delphi 5 Professional	#2 AW: TCP/UDP Port Logging? 22. Feb 2011, 18:32 Zitat von Assarbad: Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht. Hier kann der Microsoft Network Monitor 3.4 punkten. NetMon zeigt sehr schön, welche Pakete zu welchem Prozess gehören. Andreas
	Zitat

Assarbad Registriert seit: 8. Okt 2010 Ort: Frankfurt am Main 1.234 Beiträge	#3 AW: TCP/UDP Port Logging? 22. Feb 2011, 18:43 Zitat von shmia: Hier kann der Microsoft Network Monitor 3.4 punkten. NetMon zeigt sehr schön, welche Pakete zu welchem Prozess gehören. Danke für den Hinweis. Den blende ich irgendwie immer aus, obwohl er ja mittlerweile frei erhältlich ist. Oliver "... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
	Zitat

mleyen Registriert seit: 10. Aug 2007 609 Beiträge FreePascal / Lazarus	#5 AW: TCP/UDP Port Logging? 23. Feb 2011, 11:37 cmd -> netstat -ano und dann die PID im Taskman suchen
	Zitat

Assarbad Registriert seit: 8. Okt 2010 Ort: Frankfurt am Main 1.234 Beiträge	#6 AW: TCP/UDP Port Logging? 23. Feb 2011, 15:34 Zitat von alphanumeric: Zum Network analyzer: den hatte ich bisher nur für windows xp gefunden Network Monitor. Du hast aber noch immer nicht beantwortet welche Informationen die bisher mit WireShark abgefangenen Pakete schon liefern. Bspw. welches Protokoll. Oliver "... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
	Zitat

alphanumeric Registriert seit: 9. Nov 2009 79 Beiträge Delphi 2009 Enterprise	#7 AW: TCP/UDP Port Logging? 23. Feb 2011, 16:33 whoops, also das sind kerberos Pakete. Die Pakete laufen über die öffentlichen 50000er Ports und haben soweit ich das noch in erinnerung habe meinen Username als Klartext enthalten. Mehr ließ sich bislang auch nicht mit dem Network Monitor rauskriegen. Der zeigt bei den Paketen keine Prozesse an.
	Zitat

rollstuhlfahrer Registriert seit: 1. Aug 2007 Ort: Ludwigshafen am Rhein 1.529 Beiträge Delphi 7 Professional	#8 AW: TCP/UDP Port Logging? 23. Feb 2011, 16:40 Wenn also dein Username drin steht, hast du den auf dem Rechner des Kollegen schon mal eingegeben? - Und die Probleme treten erst seitdem Punkt auf, an dem du dein PW geändert hast? Bernhard Bernhard Iliacos intra muros peccatur et extra!
	Zitat