Netzwerkverkehr aufzeichnen

[crazydaddy]

Hallo Community,

ich habe eine DS413j und wollte mal nachfragen ob es eine möglichkeit gibt den Netzwerkverkehr auf zu zeichen bzw mitzuschneiden.
zb. sowas wie Wireshark für die DSM. am besten das alles in einer .txt gespeichert wird.

danke euch im vorraus

 

[dil88]

Auf der Synology ist ein Tool namens tcpdump vorhanden, damit kannst Du von einer Shell aus den Netzwerkverkehr aufzeichnen. Man-pages u.ä. findest Du im Netz.

 

[crazydaddy]

Muss man etwas beachten zwecks Einrichtung oder muss ich das einfach nur installieren etc ?

 

[dil88]

Das ist Teil der Firmware. Aber es ist kein Paket. Es ist einfach ein Linux-Programm, auf dass man mit einer Shell zugreifen kann. Einfach per ssh auf der DS einloggen und auf der Linux-Shell loslegen.

 

[jan_gagel]

tcpdump zeigt normalerweise nur an. Da müßtest du auch mittels >dateiname in eine Datei umleiten.

 

[trininja]

Aber ich würde evtl. mal genau beobachten wie groß die Datei wird, da sammeln sich sehr schnell ein paar Gigabyte an Daten an wenn man nicht aufpasst. tcpdumb ist nett um alle Rohdaten aufzuzeichnen, kann aber auf Dauer ziemlich anstrengend werden.

Würde dir empfehlen dich mal mit allen Optionen und Filterungsmöglichkeiten auseinanderzusetzen, die Ubuntu Wiki Pages zu dem Thema sind eigentlich recht aussagekräftig: http://wiki.ubuntuusers.de/tcpdump

 

[crazydaddy]

aso, dann weiß ich erst mal bescheid. dann versuche ich mich da mal durchzuwuseln.
schade das es dafür kein Paket gibt welches man nutzen kann, dachte das ist wenn dann mal schnell gemacht um sowas zu ermöglichen.
Will wenn dann nur mitschneiden bzw aufzeichen was wohin geht und das in reiner Text Form, die Daten interessieren mich nicht, mir geht es erst mal dadrum was wohin geht also rein bzw raus.

werden dann mal etwas schrieben wenn ich etwas erreicht habe. so habe ich nun schon mal einen Ansatz und dafür danke ich euch

 

[Peter_Lehmann]

Ja und dann ...
... brauchst du noch jemanden, der in der Lage ist, die Datenberge auszuwerten. Das Mitschreiben ist nämlich das eine, das sachkundige Auswerten das andere.
Aber schau es dir ruhig mal an. Dümmer wird niemand davon, wenn er den Traffic mal sieht.

MfG Peter

 

[jan_gagel]

bekommt der tcpdump eigentlich alles mit? Dachte in einem geswitchten Netz kommen da wesentlich weniger Pakete an, als bei einem Hub / WLAN. Eigentlich sollte da nur der Verkehr aufschlagen, der an den jeweiligen Client geht, bzw. Broadcast-Meldungen, nein?

 

[trininja]

Naja, es wird halt wirklich alles protokolloiert, jede kleinste Abfrage, Broadcasts, Rohdaten usw. auf den lokalen NICs. Und auch geswitchte Netzwerke haben ne Menge "Rauschen" drin.

Man denkt sich das so einfach, ich geb dir mal als kleinen Tipp zum veranschaulichen den Rat, Wireshark auf dem PC, einmal anwerfen für 5 Sekunden mitloggen und dann sehen was da eigentlich alleine in 5 Sekunden schon an Daten zusammenkommt. Und das ist nur in diesen 5 Sekunden wo du wahrscheinlich dann nichtmal am Browsen, Downloaden oder Spielen bist etc.

 

[dil88]

Richtig, dessen muss man sich natürlich bewusst sein. Ein tcpdump und andere Tools dieser Gattung sind keine Hellseher. Sie sehen und protokollieren, was ihnen auf der lokalen Hardware unterkommt.

@trininja: Deshalb hat man ohne Filterung ja auch überhaupt keine Chance auch nur ansatzweise etwas Sinnvolles zu ermitteln.

 

[goetz]

Hallo,
eine Vorfilterung ist auf jeden Fall sinnvoll, die Datenmengen können enorm werden. Nutzt man den Schalter -w /volume1/public/tcpdump.txt kann man nach der Aufzeichnung mit Wireshark sich die Deitei einlesen und mit den Möglichkeiten von Wireshark auswerten.

Gruß Götz

 

[alptz]

Hallo zusammen

Ich habe eine Anschlussfrage:
Welche Daten kann tcpdump darstellen? Lediglich den Datenverkehr oder auch den Inhalte der Pakete?

Versuch:
Per SSH habe ich tcpdump auf der Diskstation aufgerufen und versucht, den Netzwerkverkehr auf eine bestimmte Adresse mitzuschneiden.
Die Befehle habe ich nach diesen Angaben verwendet: http://wiki.ubuntuusers.de/tcpdump
Im unten eingefügten Beispiel handelt es sich um den Versuch, mein Login auf die Diskstation mitzuschneiden. Wie man sieht, werden Verbindungen aufgezeichnet, aber übermittelte Daten finde ich keine.

Ziel ist es schließlich,
das Webinterface einer entfernten Heizungssteuerung (Feriendomizil) um eine "Benutzerverwaltung" zu ergänzen. Das Webinterface leistet dies nicht und ich stelle mir vor, dass die vorhandene Diskstation die Anmeldung verwalten und die Steuerbefehle weiterleiten könnte.



Terminal-Ausgabe:
DS3> tcpdump -c 100 -A -s 65535 host 192.168.0.100 -w /volume1/public/tcpdump.log
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
100 packets captured
100 packets received by filter
0 packets dropped by kernel
DS3> tcpdump -r /volume1/public/tcpdump.log
[Ausschnitt der Log-Datei:]
23:38:19.237302 IP DS3.5001 > 192.168.0.150.52023: Flags [.], seq 92553:94001, ack 8237, win 2027, options [nop,nop,TS val 1124388154 ecr 633427238], length 1448
23:38:19.237319 IP DS3.5001 > 192.168.0.150.52023: Flags [P.], seq 94001:95360, ack 8237, win 2027, options [nop,nop,TS val 1124388154 ecr 633427238], length 1359
23:38:19.238796 IP 192.168.0.150.52023 > DS3.5001: Flags [.], ack 84287, win 8882, options [nop,nop,TS val 633427238 ecr 1124388152], length 0
23:38:19.239456 IP 192.168.0.150.52023 > DS3.5001: Flags [.], ack 87183, win 8869, options [nop,nop,TS val 633427238 ecr 1124388153], length 0

 

[goetz]

Hallo,
wie bereits geschrieben, Auswertung über Wireshark am PC, auch die Inhalte der Pakete werden mitgeschrieben.

Gruß Götz

 

[jahlives]

Ich habe eine Anschlussfrage:
Welche Daten kann tcpdump darstellen? Lediglich den Datenverkehr oder auch den Inhalte der Pakete?

tcpdump kann auch Inhalt aufzeichnen und ausgeben. Allerdings werden dann die aufgezeichneten Datenmengen nicht nur enorm sondern oberhardcorekrass ;-)
Zudem sieht tcpdump bei verschlüsselten Verbindungen nur Kauderwelsch als Inhalt

 

[alptz]

Vielen Dank euch beiden für die Antwort.

Ja, mit Wireshark erhalte ich mehr Einblick, wenn auch die Interpretation der Daten schwierig ist.
Ich filtere einen ganz bestimmten Client (Webserver Heizungssteuerung) und meine, da nicht monströse Datenmengen zu generieren.

So habe ich den Befehl ausgelöst:
tcpdump -A -s 0 host 192.168.0.210 -w /volume1/public/tcpdump.log

Ist es jetzt so, dass tcpdump kontinuierlich aufzeichnet? Oder beendet sich der Dienst nach dem Schliessen des Terminal-Fensters?
Wenn ersteres, wie stoppte man dann tcpdump wieder?
Wenn zweiteres, wie kann ich erreichen, dass der Dienst weiterläuft, ohne dass ich die SSH-Verbindung per Terminal offen halten muss? Indem ich die Option -c auf einen hohen Wert setze?

Beste Grüße

 

[alptz]

Wie kann ich die Aufzeichung über einen bestimmten Zeitraum fortsetzen lassen?

Der Befehl
tcpdump -A -s 0 -c 10000 host 192.168.0.210 -w /volume1/public/tcpdump.log
scheint nicht fortgesetzt zu werden, wenn ich das Terminalfenster (Fernzugriff per SSH) schliesse.

Ist es denn nicht so, dass mit obigem Befehl ein Dienst auf der DS gestartet wird und dieser unabhängig läuft?

 

[tschortsch]

Du könntest das Programm "screen" nutzen.
In einer Screen-Session kannst du ein Programm starten und dich ausloggen, das Programm läuft weiter.
Beim nächsten mal Anmelden verbindest du dich wieder mit Screen-Session verbinden und hast alles wieder vor dir.

Genaueres kann ich dir aber nicht sagen wie es geht, Google is da dein Freund.