Empfehlungen zur Analyse von Netzwerk-Traffic

[uname]

Ich habe nun mal einem alten Debian-Laptop als Router konfiguriert. Über eth0 bekommt er per Kabel ein WLAN zugeroutet (Router/AP-Modus) bzw. testweise auch meinen Debian-Laptop per normalen LAN-Kabel. Internet-Upstream stellt der "Router" über sein eigenes WLAN bereit. Alle Zugriffe auch ins Internet funktionieren. Wireshark protokolliert entsprechend korrekt.

Nun hätte ich gerne ein paar Empfehlungen was man analysieren kann bzw. welche Tools zum Aufbereiten der Daten geeignet sind. Ich würde gerne mal sehen inwieweit Debian, Android oder auch Windows bzw. die dort eingesetzten Anwendungen mit dem Internet kommunzieren.

[bullgard]

Du hast Deine Konfiguration für meinen Geschmack nicht klar genug beschrieben.
Sieh Dir mal 'man ntop' an! "

Description: ntop shows the current network usage. It displays a list of hosts that are currently using the network and reports information concerning the (IP and non-IP) traffic generated and received by each host. ntop may operate as a front-end collector (sFlow and/or netFlow plugins) or as a stand-alone collector/display program. A web browser is needed to access the information captured by the ntop program.

"
Gruß
bullgard

[uname]

Danke. ntop werde ich mir auch anschauen. Aber gerne würde ich wissen ob jemand diese Art von Analysen schon durchgeführt hat und wissen was als Anwendungen oder auch Konfigurationen zum Einsatz kamen.

[bullgard]

Computernetze gibt es ja sehr verschiedene. Z. B. ein Heimnetzwerk eines Schülers, ein SoHo-Netzwerk, ein Firmennetzwerk einer mittelständischen Firma oder ein WAN. Die Anforderungen und die Werkzeuge, die dort zur Verkehrsanalyse eingesetzt werden, sind unterschiedlich. Vielleicht sagst Du genauer, was für eine Sorte Netze Du Dir vorstellst, und dann traut sich jemand mit eigenen Erfahrungen eher, Dir zu antworten.
Gruß
bullgard

[eggy]

uname:
Wireshark ist wahrscheinlich schon das richtige Tool, nur hilft es Dir ohne etwas Netzwerkgrundlagenwissen auch wahrscheinlich nicht viel weiter. Du kannst Dir unter statistics z.B. listen ausgeben lassen, mit welchen IPs kommuniziert wurde.

oder direkt einen Filter angeben, der zb src und dst auf Dein Android einschränkt, dann ist alles was Du siehst vom Mobilteil generiert bzw angefragt worden.

http://wiki.wireshark.org/DisplayFilters

Und falls andere Leute Dein Netz mitbenutzen: die müssen ihre Zustimmung geben (Datenschutz)

[TRex]

Ich denke auch, dass die Artefakte von tcpdump/wireshark usw. die beste Datenbasis für sowas bilden. Ein "benutzerfreundliches" Interface habe ich noch nicht gefunden. Meine Wunschvorstellung wäre beispielsweise:

* Webinterface mit einigen vordefinierten aggregierten Berichten analog zu zb awstats für http-Traffic
* Serverdienst mit Auslegung auf Dauerbetrieb
* Abfrage auf den aktuellen Datenstand von heute bis konfigurables Limit in der Vergangenheit

Vielleicht ists auch der falsche Ansatz, aber ich fänd SQL als Datenbasis ganz nett (auch wenn p. Hier [1] wehrt man sich ein wenig dagegen. Hier [2] findet sich noch ein Ansatz, der aber etwas fehleranfällig aussieht. Meinungen? Auf SQL-Basis würde ich das anfangen. Was Vergleichbares entstand hier [3] als Masterarbeit. Und hier [4] hats ebenfalls nen sehr schönen Artikel.

[1] http://seclists.org/tcpdump/2004/q4/134
[2] http://stackoverflow.com/questions/7407 ... s-to-mysql
[3] http://www.cs.rpi.edu/~szymansk/theses/chan.ms.02.pdf
[4] https://www.usenix.org/system/files/log ... ukalos.pdf

[ThorstenS]

Ich denke das Gespann logstash/kibana wäre zum Aufbereiten/Durchsuchen der aufgezeichneten Daten ideal geeignet.
Klingt nach einem spannenden Projekt

[uname]

Spannend wird es. Sofern ich die Zeit finde. Sind übrigen alles meine eigenen Systeme. Nur für Windows muss ich mal schauen ob mir jemand seine Virenschleuder zur Verfügung stellt.

[ThorstenS]

Über diesen Thread: https://groups.google.com/forum/#!topic ... rMiKgNdMwo

Bin ich auf dieses tolle Tool moloch gestoßen: https://github.com/aol/moloch
Das schaut schon echt geil aus!

[TRex]

Hey, das sieht wirklich interessant aus. Mal bei Gelegenheit testen.

[TRex]

Moloch ist ein Moloch, wer hätts gedacht. Für kleinere Anwendungsfälle ist das eher nichts, außer man schaufelt es in eine VM, wo man es "schnell wieder los wird" - es gibt kein Debianpaket und der Installer hat keine Hemmungen, mit apt-get und wget zahlreich Abhängigkeiten nachzuladen (und zu kompilieren).

Für größere Anwendungsfälle scheints aber recht potent zu sein, vor allem mit dem elasticsearch cluster im Rücken.