ubuntuusers.de

Ich hab einen Artikel über Wireshark geschrieben und erbitte Kommentare.

Ein paar Fragen hab ich in diesem Zusammenhang an das Wiki-Team:

• Soll ich als Kategorie zusätzlich zu System und Netzwerk noch Sicherheit eintragen?

• Dass die lange Tabelle im Abschnitt Wireshark#Mitschneiden durch den Screenshot so eingeengt wird, gefällt mir nicht. Gibt es eine Möglichkeit, sie unter das Bild, aber in voller Breite darzustellen? (Ohne das Bild einfach sehr weit nach oben zu schieben.)

Guter Artikel

Ich würde aber noch ein paar Ergänzungen vorschlagen die wir schon mal hier besprochen hatten.
http://forum.ubuntuusers.de/topic/111703/?highlight=

Wie man eine Namensauflösung machen kann
rechte Maustaste - resolveNames

Sowie ein Verweis auf dein Skript was vermutlich nicht allen bekannt ist.
Skripte/anfd

Und wo man genauere Informationen zu der Adresse bekommen kann das wäre es dann von meiner Seite.
http://www.denic.de
http://www.ripe.net/
http://www.nslookup.de/index.php
http://remote.12dt.com/rns/
http://www.tracert.com/

harrybe hat geschrieben:

Guter Artikel

Ich würde aber noch ein paar Ergänzungen vorschlagen die wir schon mal hier besprochen hatten.
http://forum.ubuntuusers.de/topic/111703/?highlight=

Wie man eine Namensauflösung machen kann
rechte Maustaste - resolveNames

Cool. Dass das Kontextmenü in den Paketdetails noch weitere Funktionen hat, hatte ich noch gar nicht entdeckt. Neben Resolve Names sind auch Wiki Protocol Page und Filter Field Reference es definitiv wert, erwähnt zu werden.
harrybe hat geschrieben:

Sowie ein Verweis auf dein Skript was vermutlich nicht allen bekannt ist.
Skripte/anfd

Und wo man genauere Informationen zu der Adresse bekommen kann das wäre es dann von meiner Seite.
http://www.denic.de
http://www.ripe.net/
http://www.nslookup.de/index.php
http://remote.12dt.com/rns/
http://www.xav.com/mx_lookup.pl
http://www.tracert.com/

Hm, das hat jetzt beides nicht direkt was mit Wireshark zu tun, sondern nur mit bestimmten Anwendungsmöglichkeiten, nämlich "Angreifer" zu identifizieren bzw. "Nach-Hause-Telefonieren" zu verhindern. Ich denke, ich werde anfd eher auf der Personal Firewalls-Seite verlinken. Da passt das besser hin und wird auch gefunden.

Was die anderen Diagnose-Tools betrifft, wäre das beinahe Thema für einen eigenen Artikel (oder sogar mehrere). Web-Tools zu verlinken, obwohl man diese Informationen auch auf dem eigenen System entweder über Kommandozeilentools oder auch z.B. über System->Systemverwaltung->Netzwerkdiagnose erlangen kann, halte ich jedenfalls nicht für besonders sinnvoll.

Hallo,

ein paar kleine Syntax-Fehler, korrigiere ich noch die Tage.

Ansonsten gewohnt 1A Qualität. ☺

Gruß
noisefloor

Hallo,

so, hab's korrigiert. Sobald das Wiki wieder online ist, ist der Artikel unter Wireshark zu finden.
Kategorie "Sicherheit" ist auch drin.

@otzenpunk: Den Artikel bitte dann noch an den passenden Stellen im Wiki verlinken. Danke. ☺

Gruß
noisefloor

noisefloor hat geschrieben:

@otzenpunk: Den Artikel bitte dann noch an den passenden Stellen im Wiki verlinken. Danke. ☺

Erledigt. ☺

Hallo ubuntuusers.de-Gemeinde!

Ich habe mich gerade vorhin hier angemeldet, um bei den Wireshark Wiki-Artikel eine wichtige Ergänzung zu machen. Es geht darum wie es ohne Root-Rechte möglich ist, Netzwerkverkehr mitzuschneiden.

Falls ich etwas übersehen- oder gar was falsch gemacht haben sollte, dann steinigt mich bitte nicht gleich. 😉

Eventuell findet sich auch ein Jaunty oder Hardy Nutzer, der den beschriebenen Weg unter diesen beiden Releases testet?

Auf jeden Fall bitte ich darum, dass die Änderungen, die ich gemacht habe mal durchgesehen werden und zu verbessern, falls es nötig sein sollte.

Hi!

Willkommen im Forum, und besten Dank für die Verbesserung! Sieht gut aus, Syntax stimmt - schreib doch öfter was ☺ (ein Bindestrich zwischen admin und Gruppe fehlt, aber das ist meckern auf hohem Niveau 😉 )

so long
hank

Danke für die schnelle Antwort! Freut mich, wenn soweit alles passt! ☺ Ja, der Bindestrich, dieser Hund.... nie ist er da, wo man ihn braucht. 😉 Wenn es die Zeit zulässt, dann werde ich gerne öfters im Wiki arbeiten! ☺

Es geht darum wie es ohne Root-Rechte möglich ist, Netzwerkverkehr mitzuschneiden.

Ich habe mir das mal angesehen

Nun benötigt Wireshark zum mitschneiden des Netzwerkverkehrs keine Root-Privilegien mehr. Der Benutzer muss lediglich der admin-Gruppe ^[4] angehören.

Das hört sich gut an, aber kann es sein, das es unter Ubuntu 8.04 noch nicht funktioniert? Die Grundbedingung gilt bei mir jedenfalls schon seit SuSE 8.01 und Ubuntu 4.10 als erfüllt aber seit Hard funktioniert Wireshark nur mit gksu richtig (ich sehe sonst keine Interfaces).

Systeminformation:

dakuan@blue:~$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=8.04
DISTRIB_CODENAME=hardy
DISTRIB_DESCRIPTION="Ubuntu 8.04.4 LTS"
dakuan@blue:~$ id
uid=1002(dakuan) gid=1002(dakuan) Gruppen=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),105(scanner),107(fuse),115(admin),1002(dakuan)
dakuan@blue:~$ 

Der Basar funktioniert auch mit Maverick!

Tom

Zumindest bei mir (Ubuntu 10.04.2 LTS) funktioniert das Mitschneiden von Netzwerkverkehr gut, wenn man es wie beschrieben ohne Root-Rechte startet. Allerdings kann ich dann kein USB-Traffic mehr mitlesen. Liegt das an meiner Konfiguration? Wenn nicht, wäre es meiner Meinung nach eine Erwähnung im Artikel Wert, das man ohne Root-Rechte kein USB-Traffic mitlesen kann.

Moin,

im Artikel wird ja erst beschrieben, dass man Wireshark nicht mit Root-Rechten starten soll. Allerdings steht später unter Mitschneiden in der Tabelle

/!\ Hinweis: Da Wireshark mit Root-Rechten läuft, gehört diese Datei dann natürlich auch Root und kann mit normalen Benutzerrechten nicht gelesen werden. sudo chown hilft.

Das scheint mir inkonsistent, da ich von dem Programm aber keine Ahnung hab, sehe ich davon ab den Artikel ohne Rückmeldung zu editieren. 😉

Hallo,

liest sich so, als wäre der "nicht mit sudo starten" Teil neuer als der Teil zum Mitschneiden...

Da ich Wireshark aber auch nicht nutzte kann ich auch nicht sagen, was jetzt wirklich richtig ist...

Gruß, noisefloor

Die aktuelle Version von Wireshark kenne ich jetzt nicht. Die alte Version mit "starten als User" und "starten als root" fand ich aber OK, denn es gibt da 2 grundsätzliche Probleme.

• Man benötigt Root Rechte, um die Netzwerkkarte dazu bewegen zu können alles mitzulesen.

• In einem Muliuser Netzwerk darf ein normaler User natürlich nicht den E-Mail Verkehr seines Nachbarn mitlesen können.

• Andererseits kann es sein, das er vom Administrator aufgefordert wird, bei einem bestimmten Problem SEINEN Verkehr mitzuschneiden und die Ergebnisdatei dem Administrator zwecks Auswertung zuzuschicken. Wenn das so nicht möglich ist, muss der Admin mit seinen Messgeräten anrücken (Fahrkosten) falls er die Daten nicht an irgendeinem Switch abgreifen kann.

Das sind eigentlich widersprüchliche Anforderungen an so ein Programm.

Als ich noch arbeiten durfte, hatte ich mich zuerst gewundert, dass die Arbeitskollegen, denen ich vorübergehend zugeteilt wurde, zwar Wireshark (Windows Version!) installiert hatten, aber im Gegensatz zu mir keine Administratorrechte hatten. Der Sinn wurde aber schnell klar, als ich bemerkte, das die Administratoren der Kundenfirmen den Projekbetreuern, die natürlich keinen Zugriff auf die Kundennetze hatten, die Protokolldateien der Problemfälle zugeschickt hatten. Hier war Wireshark also nur zum Lesen der zugeschickten Dateien installiert. Man muss sowas immer als Gesamtkonzept sehen, wo nicht alle Aufgaben und Möglichkeiten in einer Hand liegen.

Ich hatte damit ja auch schon etwas Ärger und finde, das dass auch entsprechend kommuniziert werden sollte, wobei ich jetzt nicht weiss ob das in die Zuständigkeit der Wireshark Macher fällt oder daran wie es in Ubuntu implementiert ist (auf meinen Debian Rechnern habe ich es noch nicht eingesetzt).