ComputerBase Menü
Aktuelles

Wireshark - Auswertung

smashcb

smashcb

Lieutenant
Registriert
Aug. 2018
Beiträge
668
Hi

ich lasse wireshark den Netzwerkverkehr mitschneiden.
Bin auf SPAM Versandt Suche

Capturefilter ist : port 25 or port 587 or port 143 or port 110

Was sind das jetzt für Verbindungen die er hier mitgeschnitten hat? Was macht er da eigentlich? Ich vermute es verbindet sich direkt zu verschiedenen Servern und prüft ob die ihn akzeptieren als Emailversender?

Ich habe einmal ein paar IPs gesucht um zu schauen wohin die gehören.

52.101.11.0 - Texas/USA/Microsoft
94.100.180.31 - Moskau
108.177.127.27 Google/California
98.136.96.77 New York Oath Holding Inc.
217.69.139.150 - Moskau


kommt immer alles von 192.168.2.213

Wie würde es denn aussehen, wenn wirklich eine Email versandt wird ? ist die "Length" dann größer ?
 

Anhänge

  • photo_2024-03-29_12-22-05.jpg
    photo_2024-03-29_12-22-05.jpg
    214,7 KB · Aufrufe: 137
Also erstmal passt natürlich eine ganze Mail nicht in ein Datenpaket, du solltest dich evt. erstmal etwas mit Netzwerkprotokollen im Allgemeinen beschäftigen, falls du mit Wireshark etc. tiefer einsteigen willst.
In diesem Fall handelt es sich um SMTP, Standard Port 25 TCP. TCP bedeutet, dass es verbindungsorientiert ist und der Verbindungsaufbau mit dem typischen TCP 3-way-Handshake startet, gewöhnlich ist das SYN (Client), SYN-ACK (Server), ACK (Client). In diesem Fall schickt dein Client SYN Pakete an verschiedene Adressen, die antworten aber direkt mit RST (Reset), lassen die Verbindung also gar nicht erst zu.

Jetzt könntest du mit dem Ressourcenmonitor, Tab Netzwerk, schauen, welcher Prozess diese Verbindungsversuche initiiert.
 
  • Gefällt mir
Reaktionen: nutrix, redjack1000, Bob.Dig und 7 andere
Schlumpfbert schrieb:
Also erstmal passt natürlich eine ganze Mail nicht in ein Datenpaket,
Zum Vergrößern anklicken....
Das hab ich garnicht behauptet, sondern gefragt ob Length eventuell größer ist, weil vielleicht mehr Angaben übertragen werden.
Schlumpfbert schrieb:
du solltest dich evt. erstmal etwas mit Netzwerkprotokollen im Allgemeinen beschäftigen, falls du mit Wireshark etc. tiefer einsteigen willst.
Zum Vergrößern anklicken....
ich will wissen ob das eventuell der Rechner sein kann, der den SPAM versendet.
Schlumpfbert schrieb:
In diesem Fall schickt dein Client SYN Pakete an verschiedene Adressen, die antworten aber direkt mit RST (Reset), lassen die Verbindung also gar nicht erst zu.
Zum Vergrößern anklicken....
Schon mal ein Anfang.
Schlumpfbert schrieb:
Jetzt könntest du mit dem Ressourcenmonitor, Tab Netzwerk, schauen, welcher Prozess diese Verbindungsversuche initiiert.
Zum Vergrößern anklicken....
Welchen Ressourcenmonitor meinst du genau? Den auf dem Rechner mit der IP 192.168.2.213
 
Bin jetzt absolut kein Profi darin. Aber da sieht man doch SMTP Verbindungen nach Moskau? Und offenbar nicht von dir initiiert? Und du vermutest aus unbekannten Gründen, dass Spam verschickt wird aus deinem Netzwerk? Ich wüsste grad nicht, was das sonst sein sollte.
 
  • Gefällt mir
Reaktionen: smashcb
ok. dafür muss das erstmal ein Windows Gerät sein :) aber trotzdem danke für die Aufklärung.
 
ok. dafür muss das erstmal ein Windows Gerät sein..
Zum Vergrößern anklicken....
nunja du musst dir ja nicht alles aus der Nase ziehen lassen und könntest doch Infos zum Gerät hinter dieser IP einstellen - nurmal so als Vorschlag.

Mein Motto:
"Informationen schaden nur dem, der sie nicht hat/bekommt"
 
  • Gefällt mir
Reaktionen: Schlumpfbert
dms schrieb:
das genutzte Port sagt ja garnixx zum Protokoll dahinter my2Cent
Zum Vergrößern anklicken....
Klar, aber würde das hier einen Unterschied machen? Außerdem: Der TE vermutet, dass seine Maschine SPAM verschickt, Wireguard zeigt Traffic über den SMTP Port nach Moskau an... klar, könnte alles mögliche sein, theoretisch.
 
BeBur schrieb:
Der TE vermutet, dass seine Maschine SPAM verschickt,
Zum Vergrößern anklicken....
Und in dem Moment ist doch bereits eine Neuinstallation einfacher als im Netzwerktraffic zu wühlen, den man offensichtlich nicht tiefgehend versteht.
 
  • Gefällt mir
Reaktionen: Bob.Dig und BeBur
@smashcb
Wie @dms sagte, könntest du ja mal mit Infos zu dem besagten Gerät rüberkommen, bei z.B. Linux kannst du mit netstat nachschauen.
Und natürlich hat eine funktionierende Verbindung größere Pakete mit der ganzen payload als ein schnödes SYN.
 
Ich weiß einfach selber noch nicht, welche Art von Gerät sich hinter dieser IP verbirgt. Entsprechend kann ich keine Angaben dazu machen.
 
der Reihe nach Kabel ziehen, WLAN mal ausmachen, die MAC ansehen und Hersteller des Gerätes dekodieren

wenn IP via DHCP dann Gerät vai MAC dort einfach sperren ... usw.

Eventuell ein IOt Gerät (Staubsauger oÄ)
 
  • Gefällt mir
Reaktionen: AB´solut SiD und smashcb
smashcb schrieb:
Ich weiß einfach selber noch nicht, welche Art von Gerät sich hinter dieser IP verbirgt. Entsprechend kann ich keine Angaben dazu machen.
Zum Vergrößern anklicken....
Du kannst im Wireshark die MAC Adresse anschauen, die packst du dann z.B. hier rein, und dann weißt du den Hersteller, das sollte ja reichen.
Die MAC siehst du unten in den Paket Details, ist OSI Layer 2, sieht so aus: 12:34:56:78:90:AB
https://macvendors.com/
 
Wen es noch interessiert. Es war ein Laptop - Malwarebyte hat 35 mal "ausgeschlagen" .

Windows (22H2 ) Auto-Reboot bei Updates abgeschalten , weils "nervig war" .
Laptop war fast immer an.

Der Datenverkehr auf den Ports ist seid Stunden bei Null.

Kennt jemand eine gute Alternative zu Desinfec't von heise ?
 
Wen es noch interessiert. Es war ein Laptop - Malwarebyte hat 35 mal "ausgeschlagen" .
Zum Vergrößern anklicken....
Kennt jemand eine gute Alternative zu Desinfec't von heise ?
Zum Vergrößern anklicken....
Es gäbe da noch Sardu, aber ganz ehrlich: mach eine Daternsicherung dir wichtiger Dateien und mach dann eine Windows 10 Neu Clean Installation, das wäre der sauberste Weg.
 
  • Gefällt mir
Reaktionen: AB´solut SiD, Bob.Dig und BeBur
Danke

Ich würde den vorher gern komplett scannen und dann die Daten sichern. Sonst sichere ich wohlmöglich verseuchte Sachen.
 
Kaspersky ? --- Das BSI sagt NEIN ;) -- aber stimmt die hatte ich vergessen
 
Fakt ist: ich benutze schon seit Monaten das Kaspersky Free als Virenschutz und bekam noch keinen Besuch von Polizei oder so und Fakt ist auch: der Kaspersky Scanner hat eine hohe Erkennung in Sachen Malware. Ein Tipp noch: wenn du Windows 10 neu installiert und eingerichtet hast, benutze für alle Browser uBlock Origin und mache regelmässig Systembackups von Windows 10 auf eine externe USB Festplatte. Ich nutze dafür schon lange das hier: https://www.deskmodder.de/blog/2024...fessional-kostenlos-fuer-euch-bis-30-05-2024/
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz