Hilfe mit Wireshark

[BeginnerDebian]

Guten Tag,

ich benutzte unter Windows VM mit Debian und zusätzlich wireshark.
Ich möchte parallel zur VM unter Windows surfen und den Verkehr mit wireshark aufzeichnen, um später eine einfache HTTP Seite herauszufiltern.

Mein Problem:
Wenn ich unter Windows eine Seite öffne, bekomme ich unter wireshark nur NOTIFY * HTTP/1.1 angezeigt und kann die Seite die ich aufgerufen habe, nicht herausfiltern. So sieht es dann aus: https://picload.org/view/drlgdgwi/windows.png.html

Wenn ich jedoch unter VM eine Seite in Firefox aufmache, kann ich diese wunderbar filtern, da viel mehr Informationen angezeigt werden.
So schaut es aus und genau so möchte ich es auch haben, wenn ich unter Windows eine Seite aufrufe: https://picload.org/view/drlgdrga/debian.png.html


Ich bedanke mich bei allen im voraus.

[BenutzerGa4gooPh]

Willkommen im Debian-Forum!

Mit welcher Netzwerkkonfiguration ist die VM (Gast) denn mit dem Host (Windows) verbunden?
Beispiel Virtual Box: Default ist NAT (geroutet), du muesstest Bridged fuer die VM (Gast mit wireshark) konfigurieren, damit diese HTTP-Pakete vom Hostsystem (Windows) ebenfalls "sieht". VBox-Einstellungen: https://www.thomas-krenn.com/de/wiki/Ne ... VirtualBox

Fuer eine analoge Netzwerkkonfiguration von Windows-Hypervisor (VSwitch, Mirror-Port?) muesstest du Windows-Doku suchen oder in einem Windows-Forum fragen.

Am einfachsten waere wohl, wireshark unter Windows zu nutzen: https://www.wireshark.org/download.html
Somit muesste auch (dort) entschluesseltes HTTPS analysiert werden koennen.

[BeginnerDebian]

Eingestellt ist Netzwerkbrücke, also korrekt.

Allerdings muss ich das von der VM aus machen, da es eine Aufgabe ist, die so in der Form erledigt werden muss.

Vielen Dank für deine Antwort eventuell hast du noch einen Tipp.

Mit freundlichen Grüßen

[dufty2]

Beispiel Virtual Box: Default ist NAT (geroutet), du muesstest Bridged fuer die VM (Gast mit wireshark) konfigurieren, damit diese HTTP-Pakete vom Hostsystem (Windows) ebenfalls "sieht".

Und warum soll das so sein?

Damit die NIC keine Pakete mit fremden MACs verwirft (und das tut sie, noch bevor wireshark "eingreifen" kann) muss sie auf den sog. "promiscous mode" eingestellt werden (Kann man bei VirtualBox scheinbar auch so einstellen).
Dennoch ist mir nicht klar, warum sie - die (virtuelle) Bridge - Pakete, welche eigentlich dem Host vorbehalten sind, auch der VM zustecken soll?

[BenutzerGa4gooPh]

Dennoch ist mir nicht klar, warum sie - die (virtuelle) Bridge - Pakete, welche eigentlich dem Host vorbehalten sind, auch der VM zustecken soll?

Im "wahren Leben" (Bridges, Switches) werden selbstverstaendlich nur Frames mit Ziel-MACs ≠ eigenes Segment (Ziel-Port entsprechend MAC-Port-Tabelle) "geforwarded". (Broadcasts zu allen Ports.)

Bei VBox nahm ich faelschlicherweise an, dass Bridge Mode "von vornherein promiskuitiv" sei. Es ist jedoch lt. Doku so:

Perform a full, detailed analysis of network traffic on the VM's network adaptor using a 3rd party tool such as Wireshark. To do this, a promiscuous mode policy needs to be used on the VM's network adaptor. Use of this mode is only possible on networks: NAT Network, Bridged Adapter, Internal Network and Host-only Adapter.

To setup a promiscuous mode policy, either select from the drop down list located in the Network Settings dialog for the network adaptor or use the command line tool VBoxManage; for details, refer to Section 8.8, “VBoxManage modifyvm”.

Promiscuous mode policies are:

deny (default setting) which hides any traffic not intended for this VM's network adaptor.

allow-vms which hides all host traffic from this VM's network adaptor, but allows it to see traffic from/to other VMs.

allow-all which removes all restrictions - this VM's network adaptor sees all traffic.

https://www.virtualbox.org/manual/ch06. ... rk_bridged
Oracle sollte einen "Hub-Modus" einfuehren.

Danke fuer deinen Hinweis!

[BeginnerDebian]

Vielen vielen Dank, jetzt gehts