ComputerBase Menü
Aktuelles

FritzBox Paketmitschnitt - Frage zu Schnittestelle 0 Internet und 1. Internetverbindung

R

Ratz_Fatz

Banned
Registriert
Mai 2011
Beiträge
1.111
Hallo,
wenn man Pakete an der Schnittstelle "1. Internetverbindung" und "Schnittstelle 0 ('internet')" mitschneidet, was sieht man damit?

Ich sehe damit Ip's(Source) die von außen zu meiner FritzBox kommen und die Ip von meinem Internetprovider(Destination).

Sehe ich dann damit einfach alles was einfach mal meine FritzBox anfragt und dann von der FritzBox geblockt wird?

Wenn ich meinen PC mitschneiden will, reicht z.B. eth0(je nachdem an welchem Port der PC angeschlossen ist) oder?
 
Wenn man Provider <-> Fritzbox mitschneiden wollte, müsste man doch physikalisch auch dort verbunden sein, oder nicht?

Edit: Ok, jetzt kapiere ich erst, dass das eine Funktion der Fritzbox ist.
 
Zuletzt bearbeitet:
Ratz_Fatz schrieb:
Sehe ich dann damit einfach alles was einfach mal meine FritzBox anfragt und dann von der FritzBox geblockt wird?
Zum Vergrößern anklicken....

Aller Traffic für die ausgewählte Schnittstelle wird aufgezeichnet und protokolliert. Sehen tust du damit aber erst mal gar nichts, die Fritzbox legt eine Datei ab, welche dann ausgewertet werden muss. In dieser stehen dann vor allem was wohin ging und was von wo kam, also imgrunde alle Nutzdaten mit Absender und Ziel in beiden Richtungen. Ob die Fritzbox da selbst noch "Infopakete" mit reinlegt was von wo aus welcher Richtung geblockt wurde kann ich dir leider nicht verraten. Da auch die Fritzbox selbst zwischendrin noch Daten verarbeitet wirst du im Zweifel nie alles sehen was von außen "hereinprasselt".

doctor84 schrieb:
Wenn man Provider <-> Fritzbox mitschneiden wollte, müsste man doch physikalisch auch dort verbunden sein, oder nicht?
Zum Vergrößern anklicken....

Die Frage ist auch, was man "mitschneiden" möchte. Die bloße Anwesenheitskontrolle eines (aktiven) PC's im Netzwerk ist weit einfacher zu realisieren, als bspw. die Nutzung eines bestimmten Dienstes zu einem Zeitpunkt zu garantieren.
 
Ich habe ja schon was mitgeschnitten und mit Wireshark angeschaut. Im Prinzip kommt bei beiden Schnittstellen das selbe bei raus, soweit ich das gesehen habe.
Ich sehe bei den Mitschnitten nur Ip-Adressen von außen und die meines Providers. Erst bei eth0, eth1... sieht man Anfragen des einzelnen PCs.

Das was ich mit "1. Internetverbindung" und "Schnittstelle 0 ('internet')" sehe ist z.B. source(Telefonica Ip) nach 13.35.253.15(amazon), das geht dann ein paar mal hin und her(Application Data und Encrypted Alert, ACK...), in beide Richtungen.

Dann geht das weiter mit ICMP und Destination unreachable(Host unreachable).

Was mir nicht klar ist, was es zu heißen hat, wenn dort IP's erscheinen, die z.B. bei abuseipdb.com zu PortScan/Hacking/BrutForce usw. gehören. Und was sagt mir das, wenn dort ein CoAP Paket von so einer Ip erscheint? Heißt, es dann das die Pakete durchkommen?

Ich möchte nur zwei PCs(mit Linux) von mir mitschneiden, ohne dass Programme offen sind,außer Firefox zum aufzeichnen. Bei Anleitungen auf youtube und anderen im Internet, steht, wenn man alles sehen, will soll man die Verbindung "Internet" mitschneiden. Nur sehe ich damit deutlich andere Kommunikation, als die, wenn ich LAN oder eth0 aufzeichne.
 
Zuletzt bearbeitet:
Ich verstehe das so:
Wenn du z.B. den Port 80 offen hast, weil du einen Webserver zu Hause betreibst und da kommt aus dem Internet eine Anfrage an den Port 80 (gewollt oder ungewollt), dann leitet die Fritzbox das entsprechend weiter an den Webserver und die Anfrage wird beantwortet. Wenn der Port in der Fritzbox gesperrt ist, wird das Paket angeschaut, aber dann verworfen.
Prinzipiell sollte eine Anfrage an einen Webserver doch im Netzwerk und nach außen gleich aussehen. Der Router packt deine IP-Pakete aus und guckt wo sie hin sollen und packt sie (jetzt mit deiner öffentlichen IP) wieder.
 
  • Gefällt mir
Reaktionen: Ratz_Fatz
Ratz_Fatz schrieb:
...
"1. Internetverbindung" und "Schnittstelle 0 ('internet')"
...
Zum Vergrößern anklicken....

Ich würde vermuten, dass "1. Internetverbindung" die "Schnittstelle 0 ('internet')" beinhaltet. Erhälst du weitere Dienste über ein weiteres VLAN (z.B. IPTV, VOIP) mit "Schnittstelle 1 ('...')", sind auch diese Pakete bei der "1. Internetverbindung" inkludiert.

Du solltest auch die von der FB verworfenen Pakete im Dump erhalten.
 
Zuletzt bearbeitet:
Wenn du an der Wan-Schnittstelle mitschneidest ist es unmöglich, den PC zu identifizieren, der dahintersteckt, wenn du nicht parallel dazu die NAT-Tabelle in der Fritzbox abgleichst. Am WAN wird nun mal die Absende-IP mit der WAN-IP des Routers ersetzt, weil kein Ziel im Internet etwas damit anfangen könnte, wenn da als Absender plötzlich 192.168.178.123 ankommen würde.

Willst du einzelne Geräte im Netzwerk mitschneiden, ist die LAN-Schnittstelle der richtige Ort, weil es da noch kein NAT gibt.

Beispiel Ping auf 8.8.8.8:

1) PC schickt Paket mit dst = 8.8.8.8 und src = 192.168.178.123 ans Standardgateway (FB)
2) FB routet den Ping über WAN und NATet mit dst = 8.8.8.8 und src = WAN-IP der FB
3) 8.8.8.8 antwortet an die WAN-IP der FB, dst = WAN-IP der FB src = 8.8.8.8
4) FB prüft NAT-Tabelle, reNATet mit dst = 192.168.178.123 src = 8.8.8.8 und routet die Antwort zurück ins LAN

Wenn du am WAN mitschneidest, siehst du nur 2+3. Am LAN siehst du dagegen 1+4.


Was genau hast du denn eigentlich vor? WireShark bzw aufgezeichneter Traffic ist hochkomplex, wenn man nicht damit umzugehen weiß.

*edit
Der Switch eines Routers ist übrigens EIN Interface und nicht 4.
 
Zuletzt bearbeitet:
Ich habe nur einen PC dran, wenn der Mitschnitt läuft damit sollte das dann kein Problem sein. Wlan ist aus, alle weiteren LAN-Stecker sind gezogen.

Wenn ich die "1. Internetverbindung" mitschneide sehe ich mit dem PC die Verbindungen(sind nicht alle IPs auf dem Foto), das geht dann endlos weiter. Der Mitschnitt läuft auf einem Linux, der nichts offen hat außer, den Fritzbox Paketmitschnitt. Es geht vom Linux selbst nichts raus, was ich mit iftop oder lsof sehen könnte.

Um was handelt es sich da auf dem Foto?
Die Ip 186.2.163.237 ist auch beim Mitschnitt dabei(nicht auf dem Foto zu sehen), sind das DoS Versuche?

**Foto gelöscht
 
Zuletzt bearbeitet:
Ich bin immer noch nicht so ganz dahintergestiegen was du überhaupt vorhast. Bisher scheinst du einfach ziellos irgendwelchen Traffic mitzuschneiden, ohne genauen Plan was du damit anstellen willst. Ein Internetanschluss ist zu jedem Zeitpunkt einem Bombardement an Paketen von außen ausgesetzt, weil es endlos viele Skript-Kiddies gibt, die sich einen Portscanner runtergeladen haben und dann einfach mal auf gut Glück eine IP-Range im www abscannen. Deswegen ist ein ungefilterter Mitschnitt auf einer Internetschnittstelle voll von Paketen, die teilweise einfach nur kurz einen Port antesten und von der Firewall blockiert werden.

Also was bezweckst du damit? Was ist dein eigentliches Problem? Aus Jux und Dollerei schneidet man den Datenverkehr nicht mit, sondern hat ein ganz spezielles Ziel. Bisher lese ich aus deinen Beiträgen nur heraus, dass du den Datenverkehr nur aufzeichnen willst, um ihn aufzuzeichnen.

Wie ich oben schon beschrieben habe, zeigt der Mitschnitt an einer WAN-Schnittstelle stets nur den Traffic zwischen dem www und dem Router. Ohne Kenntnis der internen NAT-Tabelle des Routers lassen sich daraus jedoch keine Rückschlüsse auf das verursachende Gerät im Netzwerk ziehen. Ist nur ein PC am Router, kann es trotzdem auch der Router selbst sein, der für den Traffic verantwortlich ist. Auch heißen aufgezeichnete Pakete nicht zwingend, dass eine Verbindung hergestellt wurde, weil wie gerade erwähnt die Firewall so ziemlich jedes Paket, das von außen ungefragt am Router ankommt, von der Firewall geblockt wird.
 
  • Gefällt mir
Reaktionen: Ratz_Fatz
Okay, mir war nicht klar, dass die "1. Schnittstelle" der WAN ist. Das erklärt, dann warum ich die Pakte gesehen habe. Ich denke, damit hat sich dann meine Frage erledigt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Airblade85
1&1 Internet plötzlich arsch langsam
2
Antworten
36
Aufrufe
44.512
t-6
t-6
Jack-x
1&1 Internet Lags 5-10 Min für 10 sek
Antworten
2
Aufrufe
1.750
Jack-x
Jack-x
Deathcore
2 Router 1 für (nur) WLAN 1 Internet
Antworten
10
Aufrufe
1.423
supastar
supastar
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz