Wireshark – Mit welchen Webseiten hat ein Client kommuniziert?

Es soll ermittelt werden, mit welchen Webseiten ein bestimmter Client kommuniziert hat.
Zuerst setzen wir einen Filter, damit wir nur den Netzwerkverkehr des gesuchten Clients sehen:

ip.addr == <IP-Adresse>

Nun auf „Statistics -> HTTP -> Requests“

Den vorgeschlagenen Filter können wir übernehmen:

Hier haben wir die HTTP-Verbindungen – das Beispiel stammt übrigens von einem Philips Smart-TV:

wireshark-aufgerufene-webseiten

Tipp: Um die Dateien aus dem Mitschnitt zu exportieren, kann man auf „File -> Export Objects -> HTTP“ gehen.

Unerklärlicher RAM-Verbrauch

Mein Rechner hatte eines Tages ein seltsames Problem: Nach dem Hochfahren war die Festplatten-LED am Rechner-Gehäuse nur noch am Leuchten und der Rechner war extrem langsam. Irgend etwas musste die SSD also wirklich schwer beschäftigen.
Ein Blick in den Task-Manager brachte schnell die Erklärung: Der Arbeitsspeicher war komplett voll und der Rechner musste auf die Auslagerungsdatei auf der SSD zurück greifen, die – trotz kurzer Zugriffszeiten – deutlich langsamer ist als der Arbeitsspeicher.

Task Manager unter Windows 8.1

Weiterlesen

Sensor-Reinigung der Nikon D7000

Nach 3 Jahren mit meiner Nikon D7000 wurden so langsam einige Flecken auf den Bildern sichtbar, besonders natürlich wenn man stark abgelendet hat (so ab f/8).

Deshalb hab ich mir mal das Eyelead Sensor Cleaning Kit bestellt, das im Internet ganz gute Bewertungen bekommen hat. Es ist ein Stift der mit der Adhäsionskraft den Schmutz vom Sensor kriegen soll.

Verpackt ist es in einer kleinen Metall-Schatulle:

Eyelead Sensor Cleaning Kit

Eyelead Sensor Cleaning Kit

Weiterlesen

Windows-Prozesse und ihre Bedeutung

Für alle Interessierten habe ich eine Liste erstellt mit den wichtigsten Windows-Prozessen und was diese so machen. Die Liste wird immer wieder aktualisiert!

lsass.exe
Local Security Authority Process – existiert nur 1x pro System!

services.exe
Services Control Manager – ist für den Statt aller anderen Dienste veranwortlich

svchost.exe
Hostprozess für Windows-Dienste – davon können mehrere auf dem System existieren. Jede svchost.exe stellt dabei unterschiedliche (System)-Dienste bereit.

Kleine Wireshark-Kunde

Nützliche Filter:

nur Pakete einer bestimmten IP-Adresse zeigen (egal ob Sender oder Empfänger):
ip.addr == 192.168.1.1

nur Pakete an einen bestimmten Empfänger zeigen:
ip.dst == 192.168.1.1

nur Pakete von einem bestimmten Absender zeigen:
ip.src == 192.168.1.1

nur HTTP-Anfragen zeigen:
http.request

nur verschlüsselte Verbindungen zeigen:
ssl

nur DNS-Kommunikation anzeigen:
dns

Zeige LLMNR/NBT-NS-Abfragen:
udp.port == 5355 || nbns

DHCP-Verkehr anzeigen:
bootp.option.type == 53
ODER
udp.port == 68

nur Pakete zeigen, die eine bestimmte Zeichenfolge enthalten
tcp matches „(?i)SUCHBEGRIFF“
(durch „?i“ wird Groß-/Kleinschreibung ignoriert)

Paket ausblenden, die wiederholt übertragen wurden:
not tcp.analysis.retransmission

Mehrere Filter kombinieren:
http.request && not ip.addr == 192.168.1.1

Wer redet mit wem? (Konversationen aufzeigen):

  • Statistics –> Conversations

„Unterhaltungen“ zwischen Client und Server folgen:

  • Rechte Maustaste –> Follow TCP Stream

„Top-Talker“ (Endpunkte mit höchstem Netzwerkverbrauch) herausfinden und grafisch darstellen :

  • Statistics –> Conversations
  • Auf „IPv4“ klicken und absteigend nach der Spalte „Bytes“ sortieren
  • Rechtsklick auf den obersten Eintrag –> Prepare a Filter –> Selected –> A <-> B
  • Den Filter in die Zwischenablage kopieren
  • Statistics –> I/O Graph
  • In der unteren Zeile ggf. einen weiteren Graphen einfügen und den Inhalt der Zwischenablage bei „Display filter“ einfügen

IP-Adressen in Hostnamen auflösen:

  • View –> Name Resolution –> Enable for Network Layer
  • View –> Name Resolution –> Resolve Hostname

Capture Filter – Beispiele:

Nur Pakete aus einem bestimmten Netzwerkbereich aufzeichnen:
net 192.168.0.0/24