Heimnetzwerke - WIFI, LAN, Router und Co 16.517 Themen, 81.101 Beiträge

Verfolgung starten Optionen

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted / 15 Antworten / Flachansicht Nickles

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

bei Antwort benachrichtigen
Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den ... Lemon5
Dieser Beitrag ist gelöscht. username_deleted
Dieser Beitrag ist gelöscht. username_deleted
offensichtlich hat sich da ein vip auf mich eingeschossen. eigenartig dass ... username_deleted
Na dann will ich lemon5 nochmal in ganz anständigem ton antworten. eher ... username_deleted
Dieser Beitrag ist gelöscht. Lemon5
Dieser Beitrag ist gelöscht. username_deleted
UselessUser username_deleted „Dieser Beitrag ist gelöscht.“
Optionen

Hallo Epigenese,

ich kann den Ärger verstehen, wenn man einen Thread startet und gleich vom ersten Poster schräg verstanden wird. Aber vielleicht könntet ihr beide wieder ein bisschen herunterdrehen, nachdem ihr euch gesagt habt, was ihr meint und was ihr voneinander haltet.

Bin selbst kein Netzwerk- oder Sicherheitsspezialist, habe mir mein Wissen auch selbst angeeignet und finde solche Versuche mit Wireshark gut. Will ich in nächster Zeit auch selbst einmal machen ;-)

"Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?"
Gegenfrage: Was spricht dagegen, nach allem was über Stuxnet & Co in letzter Zeit bekannt geworden ist? Wenn sich jemand die Mühe macht und einen Trojaner auf Wireshark ansetzt, kann er bestimmt dieses Programm manipulieren oder täuschen, zumal Wireshark keine expliziten Sicherungsmechanismen verfügt wie z. B. ein Online-Banking-Programm. Meines Wissens setzt Wireshark auf den Netzwerktreiber WinPcap oder so ähnlich auf, auch hier böte sich ein Einfallstor bspw. mit veränderten DLL-Dateien. Natürlich müsste die Schadsoftware so geschickt vorgehen, dass das auf dem gleichen Rechner installierte Antiviren-Programm bei seinen Aktionen keinen Alarm schlägt, viele Sicherheitsprogramme verfügen ja mittlerweile über Heuristik-Funktionen.

In diesem Zusammenhang habe ich noch diesen Link hier gefunden:
http://www.youtube.com/watch?v=ItRKJc6Pqt8

Ach ja, den Link von Soulmann63 finde ich übrigens sehr interessant, ist schon Wahnsinn!!!!

MfG, UU

Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
bei Antwort benachrichtigen
Hi UselessUser danke dir für deinen Beitrag Was spricht dagegen, nach allem ... username_deleted
Hallo Epigenese! Damit wir uns richtig verstehen: Ich wüßte keine ... UselessUser
Hi UU auf jeden fall will ich das oder die analyseprogramme auf einem ... username_deleted
Nur in Kürze, ... Soulmann63
Hallo Soulmann63, danke dir für deinen Hinweis. In dem von dir verlinkten ... username_deleted
Hallo Aristoteles - Prinzipiell ist es mit fast jeder Netzwerkkarte welche ... Soulmann63
Hi Soulmann Prinzipiell ist es mit fast jeder Netzwerkkarte welche eine ... username_deleted