Wireshark zwischen PC und Modem schalten

[debiator]

Guten Abend.

Ich versuche gerade Wireshark etwas besser zu verstehen.
Wenn ich das Prog auf dem PC laufen lasse, welchen ich datentransfer-technisch nachvollziehen will, dann zeigt es mir ja nicht die reinen Daten, die vom PC aus ins Internet fließen. Da sind ja einige intere Prozesse dabei, wenn ich es richtig verstehe.

Um genau nachzuvollziehen, was von meinem PC aus ins Inet läuft und umgekehrt, muss ich ja Wireshark auf einem Zweitgerät irgendwie zwischen dem PC und Modem schalten oder nicht?
Wenn ja, wie veranstalte ich das genau?

Ich müsste ja dann z.B. in einem Laptop zwei Netzwerkkarten haben und dann das Laptop per Routing durchschleifen und als Zwischenpunkt bzw. Gateway verwenden.
Den Luxus zweier Netzwerkkarten habe ich aber nicht.

Andere Möglichkeit wäre per arp- bzw. IP-Spoofing, also dem PC eine andere MAC bzw. IP vorzugaukeln (die IP des Modems). Aber auch da brauche ich eine zweite Karte, die den Verkehr weiter zum Modem schickt.
Also wären wir wieder bei dem Punkt1.

Wie kann ich also mit Wireshark effizient nachvollziehen, ob z.B. dns-crypt wirklich alles verschlüsselt oder ob es DNS-Leaks gibt und ob sonstige Programme/Dienste unnötig nach außen telefonieren?

[alteholz]

Wenn ja, wie veranstalte ich das genau?

Mancher Switch kann so konfiguriert werden, dass ein Port als Monitor-Port dient und dort jeder Traffic der anderen Ports hinkopiert wird. Also an einem Port hängt der PC, an einem anderen Port das Modem und an dem Monitor-Port lauscht ein zweiter Rechner.

Thorsten

[debiator]

Mancher Switch kann so konfiguriert werden, dass ein Port als Monitor-Port dient und dort jeder Traffic der anderen Ports hinkopiert wird. Also an einem Port hängt der PC, an einem anderen Port das Modem und an dem Monitor-Port lauscht ein zweiter Rechner.

Thorsten

DAS hört sich super an. Danke!
Geht es nur mit einem Switch oder kann es auch eine Hardware-Firewall?
Bei meinen Einstellungen kann ich den Port entweder als LAN oder als DMZ einstellen, also wohl keine andere Funktion.

Haben diese Switches mit den Monitorports irgendwelche offizielle Namen bzw. haben die Monitorports offizielle Namen?
ich finde da auf die Schnelle nichts.

[alteholz]

Geht es nur mit einem Switch oder kann es auch eine Hardware-Firewall?

*shrug* nunja, das wird wohl im Handbuch stehen. Ich vermute mal nicht.

Haben diese Switches mit den Monitorports irgendwelche offizielle Namen bzw. haben die Monitorports offizielle Namen?
ich finde da auf die Schnelle nichts.

Zumindest kann das nicht jeder Switch. Eine andere Bezeichnung wäre noch "port mirroring". Zumindest von D-Link gibt es sowas (auch kleinere Typen können das). Eine genaue Bezeichnung weiß ich jetzt aber leider nicht. Andere Hersteller können das sicherlich auch.

Thorsten

[debiator]

nein, sieht nicht so aus.

Ok, ich schau mal nach den Begriffen.

Gibt es einen anderen Weg?
Durch irgendwelche direkte Befehle bei Wireshark ist es unmöglich aus der eigenen Netzwerkkarte zu kommen oder?

[uname]

Ich müsste ja dann z.B. in einem Laptop zwei Netzwerkkarten haben und dann das Laptop per Routing durchschleifen und als Zwischenpunkt bzw. Gateway verwenden.
Den Luxus zweier Netzwerkkarten habe ich aber nicht.

Meit Zweit-Laptop hat WLAN und LAN, was immerhin mal Standard war. Das macht zwei Netzwerkkarten. Über WLAN hatte ich mal meinen echten Router kontaktiert und über LAN das zu testende Gerät. Wireshark hat gute Arbeit geleistet.

Weiterer Lösungsversuch:
Man kann bei Wireshark z.B. Ziel- oder Quell-Subnetze oder sogar Ports filtern. Vielleicht löst das dein Problem.

[debiator]

achja klar, das Wlan kann ja weiter leiten!
gute Idee!

Das mit den Filtern hab ich schon dies und das probiert, aber nicht wirklich weiter gekommen.
Der fängt kein Verkehr der anderen ab, was ja auch logisch ist, da dieser Verkehr selbstverständlich nicht durch die Netzwerkkarte des Laptops geht.
Aber mit der Wlan-Weiterleitung werde ichs mal probieren.

[mat6937]

... nicht die reinen Daten, die vom PC aus ins Internet fließen. Da sind ja einige intere Prozesse dabei, wenn ich es richtig verstehe.

Kannst Du das mal etwas genauer erklären? Evtl. hast Du nicht den richtigen Filter, mit Wireshark genutzt.
Das input-/output-Interface deines PCs befindet sich doch zwischen deinem Modem (Router) und deinem PC. Dort kannst Du die relevanten Daten "abgreifen"/feststellen, ... mit dem geeigneten Filter.

[debiator]

Das input-/output-Interface deines PCs befindet sich doch zwischen deinem Modem (Router) und deinem PC. Dort kannst Du die relevanten Daten "abgreifen"/feststellen, ... mit dem geeigneten Filter.

ja genau das habe ich ja noch nicht aufgebaut. Jetzt hänge ich einfach nur am Router dran, da er aber keinen monitoring-Port hat, bringt es mir nichts.
Muss also bei Gelegenheit über Wlan und LAN die Verbindung durchschleifen.
Dann kann ich mal mit den Filtern rumexperimentieren

[mat6937]

ja genau das habe ich ja noch nicht aufgebaut.

Das musst Du nicht extra aufbauen. Das ist deine Netzwerkkarte, über die dein PC mit dem Router jetzt schon verbunden ist.

[debiator]

Das musst Du nicht extra aufbauen. Das ist deine Netzwerkkarte, über die dein PC mit dem Router jetzt schon verbunden ist.

jetzt nochmal kurz zum Verständnis:
Ich würde gerne checken (und zwar ganz rein) was mein PC an Daten sendet und wie er das macht.
Geht das mit Wireshark direkt am PC selber dran? Eher schwierig oder?

Deswegen muss ich ja einen Laptop zwischen PC und Router hängen, damit ich die Daten anschauen kann.

Oder was schlägst Du vor?

[mat6937]

... was mein PC an Daten sendet ...

Oder was schlägst Du vor?

Versuch mal auf deinem PC:

Code: Alles auswählen

sudo nethogs <Interface-das-zum-Router-führt>

und

Code: Alles auswählen

sudo tcpdump -vvveni <Interface-das-zum-Router-führt> src host <interne-IP-Adresse-PC>

EDIT:

Statt Interface kannst Du mit tcpdump (auf deinem PC) auch die MAC-Adresse des i-/o-Interfaces nutzen. Z. B.:

Code: Alles auswählen

sudo tcpdump -vvven ether src <MAC-Adresse-des-i-/o-Interfaces>

[debiator]

nethogs ist wirklich eine schöne Sache, danke!

Allerdings zeigt es z.B. nicht die DNS anfragen, es zeigt allgemein die Programme oder gibt es da eine Funktion dafür?

tcpdump ist in dem Fall ziemlich unübersichtlich, also da ist Wireshark schon Luxus. Das zweite Problem, es zeigt eben nur tcp an.

[mat6937]

tcpdump ist in dem Fall ziemlich unübersichtlich, also da ist Wireshark schon Luxus. Das zweite Problem, es zeigt eben nur tcp an.

tcpdump ist m. E. einfacher als WS. tcpdump ist nur dann unübersichtlich, wenn man nicht den richtigen Filter nutzt. Z. B. versuch mal unverändert mit:

Code: Alles auswählen

sudo tcpdump -vvveni any udp port 53

Das kannst Du dann weiter eingrenzen/ergänzen/ändern auf das Interface (statt any) und auf src bzw. dst port und/oder auf src host bzw. dst host (oder auch net).

EDIT:

BTW: tcpdump kann z. B. auch icmp, arp, EAPOL, ... und auch noch andere Protokolle.

[debiator]

ok, jetzt sehe ich, dass die 53er-Auflösung auf dem localhost geschieht.
Das wäre dann kein Leak.
Das war in Wireshark nicht so klar.

Muss mich mal in die Funktionen von tcpdump einarbeiten

[debiator]

zu früh gefreut. Und dann zack, ist er bei einer anderen Webseite auf externe 53er umgesprungen.
Ist es jetzt der Beweis für DNS-Leak von dnscrypt. Das wäre ja ziemlich daneben!

Das macht er z.B. hier:

Code: Alles auswählen

    127.0.0.1.53 > 127.0.0.1.50066: [bad udp cksum 0xfe56 -> 0x41f7!] 16753 q: A? debianforum.de. 1/0/1 debianforum.de. [12h13m7s] A 144.76.154.165 ar: . OPT UDPsize=1252 (59)

Und das macht er bei grc.com:

Code: Alles auswählen

    199.6.0.29.53 > 192.x.x.x.47451: [udp sum ok] 4416 NXDomain*- q: Type32769? www.grc.com.dlv.isc.org. 0/6/1 ns: dlv.isc.org. [1h] SOA ns-int.isc.org. hostmaster.isc.org. 2015101403 7200 3600 2419200 3600, dlv.isc.org. [1h] RRSIG, graz4u.com.dlv.isc.org. [1h] NSEC, graz4u.com.dlv.isc.org. [1h] RRSIG, clair.coffee.dlv.isc.org. [1h] NSEC, clair.coffee.dlv.isc.org. [1h] RRSIG ar: . OPT UDPsize=4096 OK (737)

   192.x.x.x.24425 > 199.6.1.29.53: [udp sum ok] 3471% [1au] DNSKEY? dlv.isc.org. ar: . OPT UDPsize=4096 OK (40)

[mat6937]

Und dann zack, ist er bei einer anderen Webseite auf externe 53er umgesprungen.

Poste mal die (evtl. richtig anonymisierte) Ausgabe, mit dieser externen Anfrage an Port 53.

[debiator]

Poste mal die (evtl. richtig anonymisierte) Ausgabe, mit dieser externen Anfrage an Port 53.

habs oben schon editiert.

[mat6937]

habs oben schon editiert.

Wenn es keinen Grund gibt, sich außerhalb von lokal und (W)LAN mit einem Port 53 zu verbinden, dann versuch mal auf deinem PC als Test, mit iptables in der OUTPUT chain, mit folgenden Regeln:

Code: Alles auswählen

sudo iptables -I OUTPUT 1 -p udp -d 127.0.0.0/8 --dport 53 -j ACCEPT
sudo iptables -I OUTPUT 2 -p udp -d 192.168.x.0/24 --dport 53 -j ACCEPT
sudo iptables -I OUTPUT 3 -p udp --dport 53 -j REJECT

In der 2. Regel musst Du das richtige Subnetz für dein (W)LAN eintragen.
Mit z. B.:

Code: Alles auswählen

sudo iptables -nvx -L OUTPUT

kannst Du die counter dieser Regeln anschauen und sehen wie und ob die Regeln bzw. evtl. Anfragen nach außen zum udp-Port 53 funktionieren bzw. geblockt werden. Auch musst Du beurteilen/überlegen, ob die Namensauflösung auf deinem PC, mit diesen iptables-Regeln, noch einwandfrei funktioniert.

[debiator]

iptables benutze ich nicht, das Ganze regeln eine HW-Firewall.
Dort habe ich schon mal probiert die 53er LAN-WAN zu blocken.
Das Resultat ist verheerend, da der Browser sich immer wieder massiv aufhängt (wohl wegen den 53er Anfragen nach außen).

Eine seltsame Sache das.

[mat6937]

iptables benutze ich nicht,

Es geht hier nur um einen Test (d. h. das ist temporär), um zu sehen was die counter der iptables-Regeln anzeigen wenn die Namensauflösung genutzt wird und der Zugriff ins Internet zum udp-Port 53 geblockt ist.

EDIT:

Poste mal die Ausgabe von:

Code: Alles auswählen

cat /etc/resolv.conf

EDIT 2:

Wenn die Eintragungen in der "/etc/resolv.conf" OK sind, könntest Du als Test (d. h. temporär) mit iptables in der nat table der OUTPUT chain, mit dem target DNAT, alle Anfragen zum udp-Port 53 ins Internet, auf die lokale IP-Adresse/Port 127.0.0.1:53 (wo ja dns-crypt lauscht) umleiten.

Es muss aber auch geschaut werden, was veranlasst bestimmte Anwendungen/Dienste/Programme auf deinem PC, DNS-Server (Port 53) direkt im Internet zu nutzen?

[debiator]

in der resolv ist der nameserver localhost.
Da ich ja dnscrypt nutze.
Also das ist ja so weit in Ordnung.

da ich mich mit iptables nur mal oberflächlich theoretisch befasst habe, ist es schwierig da mal gschwind etwas einzurichten
Aber wenn man die Anfragen auf localhost erzwingen könnte, wäre es natürlich gut.
Allerdings frage ich mich WARUM überhaupt dnscrypt verlassen wird (was ja offensichtlich der Fall ist).
Wie ich das herausfinden soll, das übersteigt meine Kenntnisse völlig.
Bei dnsleaktest.com zeigt er mir keinen Leak an.

[mat6937]

Allerdings frage ich mich WARUM überhaupt dnscrypt verlassen wird (was ja offensichtlich der Fall ist).

Das kann z. B. auch durch ein Script, das beim Aufruf einer Webseite mit dem Browser auf deinem PC ausgeführt wird, verursacht sein.

EDIT:

Wie ist auf deinem PC, die Ausgabe von:

Code: Alles auswählen

cat /etc/nsswitch.conf | grep -i hosts

?

[debiator]

Junge!! DANKE!!! Du hast nen Pokal verdient!
Als Du Script gesagt hast, war mir fast klar, was es ist und schon hatte ich die Sau erwischt!

Es war das Addon DNSSEC/TLSA Validator für Firefox. Das Ding gibt nen DNS-Leak.
Weil DNSSEC am dnscrypt vorbei geht (warum auch immer, obwohl DNS ganz klar auf localhost verwiesen wird).
Dieses Addon ist dem Sinn nach dann fragwürdig, da es eh kaum Seiten gibt, die sich da eingetragen haben und zertifiziert sind.

Wenn ich jetzt in Wireshark als Filter dns eingebe ist da NICHTS mehr zu hören... schön sauber, kein 53er!
So gehört es sich!

[mat6937]

Wenn ich jetzt in Wireshark als Filter dns eingebe ist da NICHTS mehr zu hören... schön sauber, kein 53er!
So gehört es sich!

Dann könntest Du ja auch den Zugang zum Port 53 im Internet, mit deiner HW-Firewall zum testen, mal ein paar Tage lang, blocken.