Traces zum überprüfen des Traffic formatieren lassen.

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Raudi »

Hallo,

ich dachte mir letztens mal, lass in einer Ruhigen Minuten mal ein Router Trace laufen und schau mal was da so alles in Netz raus geschickt wird.

Aber selbst in einer Ruhigen Minute sind da so viele Geräte die irgendwelche Kleinigkeiten anfragen oder sonst was machen, dass das ganze sehr unübersichtlich und schwierig wird zu überprüfen. Und ich hatte schon die VPN und VoIP Gegenstellen ausgeklammert.

Da wäre es echt klasse wenn man einen Trace erstellen könnte, wo folgendes steht:

Datum/Uhrzeit | Quell-IP | über DNS aufgelöster Name der Quell-IP | Ziel-IP | über DNS aufgelöster Name der Ziel IP | Dienst | Port

Und das ganze in einer formatierten Tabelle, damit die Spalten immer an der gleichen Stelle sind.

Um einfach mal zu schauen was passiert da auf der Leitung ins Internet, sind da evtl. Geräte die einen Trojaner haben und permanent irgendwo hin kommunizieren?

Oder wie kann man sowas am besten prüfen? Evtl. gibt es da ja noch alternativen?

Viele Grüße
Stefan
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von MariusP »

Hi,
Erstell dir doch mit LCOSCAP einen Wireshark Trace.
Damit solltest du genau rausfiltern können was du brauchst.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von stefanbunzel »

Hallo Raudi,
Raudi hat geschrieben:Oder wie kann man sowas am besten prüfen? Evtl. gibt es da ja noch alternativen?
Ich würde das mittels Syslog und Firewall-Regel lösen. So kannst du das auch gut bei Bedarf auf bestimmte Gegenstelle und / oder User begrenzen. Auf deinem Syslog-Server (Bsp. Kiwi) kannst du dann noch einmal sehr schön die Meldungen nach bestimmten Kriterien sortieren und getrennt abspeichern. Die DNS-Auflösung klappt auch, wenn du Kiwi entsprechend konfigurierst.

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von stefanbunzel »

Hallo Raudi,

wie Jirka in einem anderen Beitrag richtig anmerkte, funktioniert aktuell (LCOS 9.10.03xx) die Syslog-Funktion des LCOS nicht mehr richtig (vgl._ http://www.lancom-forum.de/syslog-ausga ... 14309.html). Daher wird meine Lösung / Vorschlag vermutlich aktuell leider nicht funktionieren. :cry:

Mit früheren LCOS-Versionen (gefühlt vor LCOS 9.x?) gab es da keine Probleme. Hoffen wir mal, dass LANCOM da schnell nachbessert.

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Bernie137 »

Hallo Raudi,

ich hatte so etwas ähnliches auch schon mal angeregt. http://www.lancom-forum.de/lancom-featu ... tml#p78807 Ich bin dann im weiteren Verlauf des Beitrags etwas vom Thema abgekommen. Meine ursprüngliche Idee war, ab damit in die Zwischenablage und dann im Excel weiter filtern/formatieren usw.

vg Bernie
Man lernt nie aus.
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Raudi »

Hallo,

vielen Dank für die Tipps, das mit dem LCOSCAP Tool klappt ganz gut, leider muss man aber auf dem LAN Interface tracen und somit bekomme ich auch den ganzen lokal gerouteten kram mit rein. Da ist der Router Trace schon praktischer, da man dort ja ganze Netze und Gegenstellen ausschließen kann. Müsste nur etwas übersichtlicher formatiert sein.

Und eine Bitte an LANCOM, schreibt in das Readme und in die KB Artikel zum Tool doch auch mal rein, dass man hier noch eine Einstellung auf dem Router tätigen muss. Ich habe diese Einstellung zufällig durch Google gefunden...

Aber ist schon erschreckend was man da so alles findet. Ich habe hier zwar keine Trojaner gefunden, aber dafür gemerkt was Windows alles so nach Hause überträgt. Sogar auf den Servern wurde vor kurzem per Windows Update was installiert was alle paar Minuten nach Hause telefoniert. Auf der einen Seite schön dass die das wenigstens per HTTPS machen, aber auf der anderen Seite auch doof, denn so kann man nicht sehen was die schicken.

Viele Grüße
Stefan
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Dr.Einstein »

Raudi hat geschrieben: Und eine Bitte an LANCOM, schreibt in das Readme und in die KB Artikel zum Tool doch auch mal rein, dass man hier noch eine Einstellung auf dem Router tätigen muss. Ich habe diese Einstellung zufällig durch Google gefunden...
Bei -? sind doch alle Argumente inkl Beispiele aufgeführt?

z.B. steht auch im KB lcoscap -o output.pcap -i WLAN-1 -p PASSWORT 192.168.50.1
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Raudi »

Aber nicht das man auf dem Router unter "Setup > Paket-Capture > LCOSCap-In-Betrieb" den Wert auf "Ja" stellen muss, komisch ist nur, dass hier steht, dass der Default auf "Ja" steht, bei mir war er aber auf "Nein" und ich habe da garantiert nichts dran gestellt.

http://lancom-systems.de/docs/LCOS-Menu ... _63_1.html

Hat sich wohl irgendwann mal geändert...

Viele Grüße
Stefan
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von alf29 »

Moin,

korrekt, der Default für LCOScap-Operating hat sich in einer der letzten Versionen auf No geändert.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von Raudi »

Moin Alfred,

ist es auch korrekt, dass man dieses nur in der WEB GUI und auf der CLI einstellen kann? Weil im LANconfig habe ich da nichts gefunden...

Viele Grüße
Stefan
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Traces zum überprüfen des Traffic formatieren lassen.

Beitrag von alf29 »

Moin,

es gibt diverse Schalter, die als so 'exotisch' angesehen werden, daß sie nicht im LANconfig auftauchen, weil sie so wenige Kunden brauchen, und man der Meinung ist, daß man sich mehr Supportfälle als Nutzen damit einhandelt, wenn man sie im LANconfig zugänglich macht. Das ist immer eine Fall-zu-Fall Entscheidung, die sich auch über die Versionen ändern kann.

Im Fall 'LCOScap' ist es ja schon einmal so, daß man zum Nutzen dieses Features nicht nur einen Schalter umlegen, sondern auch ein Kommandozeilenprogramm (nämlich das LCOScap selber) bedienen können muß. Mit einer CLI wird man also so oder so konfrontiert. Außerdem gibt's alternativ zum Capturen ja noch den Knopf in der WEBconfig, sowie RPCap, sofern man gerade eine (Windows-)Version von Wireshark hat, mit der das mal funktioniert ;-) WObei ich nicht sicher bin, ob die RPCap-Einstellungen im LANconfig auftauchen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten