Hi werte Gemeinde,
habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.
Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.
Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.
Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.
Meine Frage:
Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?
Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.
Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.
Grüsse
Epi
Heimnetzwerke - WIFI, LAN, Router und Co 16.517 Themen, 81.101 Beiträge
Hallo Epigenese,
ich kann den Ärger verstehen, wenn man einen Thread startet und gleich vom ersten Poster schräg verstanden wird. Aber vielleicht könntet ihr beide wieder ein bisschen herunterdrehen, nachdem ihr euch gesagt habt, was ihr meint und was ihr voneinander haltet.
Bin selbst kein Netzwerk- oder Sicherheitsspezialist, habe mir mein Wissen auch selbst angeeignet und finde solche Versuche mit Wireshark gut. Will ich in nächster Zeit auch selbst einmal machen ;-)
"Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?"
Gegenfrage: Was spricht dagegen, nach allem was über Stuxnet & Co in letzter Zeit bekannt geworden ist? Wenn sich jemand die Mühe macht und einen Trojaner auf Wireshark ansetzt, kann er bestimmt dieses Programm manipulieren oder täuschen, zumal Wireshark keine expliziten Sicherungsmechanismen verfügt wie z. B. ein Online-Banking-Programm. Meines Wissens setzt Wireshark auf den Netzwerktreiber WinPcap oder so ähnlich auf, auch hier böte sich ein Einfallstor bspw. mit veränderten DLL-Dateien. Natürlich müsste die Schadsoftware so geschickt vorgehen, dass das auf dem gleichen Rechner installierte Antiviren-Programm bei seinen Aktionen keinen Alarm schlägt, viele Sicherheitsprogramme verfügen ja mittlerweile über Heuristik-Funktionen.
In diesem Zusammenhang habe ich noch diesen Link hier gefunden:
http://www.youtube.com/watch?v=ItRKJc6Pqt8
Ach ja, den Link von Soulmann63 finde ich übrigens sehr interessant, ist schon Wahnsinn!!!!
MfG, UU