Internet-Traffic - Gerät zuordnen

Jump to last post
R

Rakorium-M

NGBler
Registriert
14 Juli 2013
Beiträge
412
Hallo,
wie ich heute gesehen habe, hat unser Haushalt im letzten Monat extrem viel Internet-Traffic erzeugt (~150GB). Außer einer Steam-Installation (30GB) hat jedoch keiner der Netzwerk-Benutzer irgendwelche größeren Datenmengen runtergeladen, Streaming-Dienste benutzt hier auch niemand. Mit normalem Surfen ist mir aber nicht ganz klar, wie man damit auf über 100GB kommen sollte. Jetzt steht natürlich die Befürchtung im Raum, dass jemand von Außerhalb unser Netzwerk/WLAN mitnutzt.

Daher würde ich in einem ersten Schritt gerne herausfinden, welches Gerät im Netzwerk wie viel Internet-Traffic erzeugt. Die Fritzbox scheint dafür leider keine passende Funktion zu haben. Was habt ihr so an Ideen, wie man das herausfinden könnte? Bastel-Lösungen wären auch eine Möglichkeit. Raspberry Pi + Programmierkenntnisse sind vorhanden.

Zweitens würde ich gerne wissen, welche Geräte sich so im Netzwerk rumtreiben. Die von der FritzBox geführte MAC-Liste sieht sauber aus, allerdings ist MAC-Spoofing ja eine übliche Methode, um WLAN-Filter auszutricksen.
Wie könnte man Eindringlinge im Netzwerk sonst noch identifizieren?
Auch hier wäre ich bereit ein paar Zeilen Code zu schreiben, wenn es keine passenden Tools gibt. Ein Eigenbau-MAC-Scanner wäre bereits vorhanden.

Gruß
Rakorium
 
Mit Mac-Spoofing erreichst du bei WPA2 aber nur, dass eine neue Authentifizierung angefordert wird.

Zum Messen des Traffics der einzelnen Geräte wirst du wohl nicht drumherumkommen, auf den jeweiligen Geräten einen Trafficzähler zu installieren. Ohne größere Modifikationen der Fritzbox (Freetz) dürfte das auf der FB nicht möglich sein.

Allerdings find ich jetzt 150GB / Monat nicht so übermäßig viel.
 
Wie viele Personen sind denn so allgemein im Netzwerk unterwegs? Ich komm so auf 40-50GB im Monat, nur mit Surfen, ab und an mal Youtube/Film, usw. Also auch nix, was irgendwer als besonders einschätzen würde. Nachdem ich jetzt die letzten Wochen Urlaub hatte, hab ich diesen Monat sogar 70GB. Wenn da also ein paar Personen im Netz unterwegs sind und Du noch 30GB Steam heruntergeladen hast, dazu evtl. Windows-Updates (mehrere Geräte), etc., dann find ich das gar nicht so abwegig.

Wie sind denn die Geräte alle so am Router angebunden? Kannst Du mal grob das Netzwerk beschreiben? Wenn die Geräte überwiegend über Kabel dran hängen, so könnte es sich anbieten, einmal einen Switch zwischenzuschalten, welcher portbasiert den Traffic mitschneiden kann. Beispielsweise den TP-Link TL-SG108E (nicht mit dem TL-SG108 verwechseln). Das WLAN hängst Du auch mit einem zusätzlichen Accesspoint an den Switch (oder die Fritzbox selbst, sofern ein anderes Gerät, z. B. Kabelrouter den Internetzugang aufbaut). So wäre die Manipulationsgefahr am geringsten, da jemand, der das WLAN-Kennwort knacken kann, sicherlich auch merken würde, wenn man ihm einen falschen DNS-Server zum Mitschneiden unterjubelt*. ;)

Dennoch denke ich persönlich, dass Dein Verdacht unbegründet ist. Vielleicht wäre es einmal zunächst eine gute Idee, das WLAN-Kennwort abzuändern und (imho) unsichere Funktionen wie z. B. WPS zu deaktivieren, dazu noch die Firmware sämtlicher Geräte im Netzwerk auf den aktuellen Stand zu bringen.


* Sofern man dem Switch ein halbwegs sicheres Kennwort gibt, evtl. auch eine IP-Adresse außerhalb des Bereichs, damit man den nicht gleich "findet" (Netzwerk 192.168.178.* -> 192.168.156.1).
 
Ich würde mir vermutlich Wireshark etwas genauer anschauen und das dann mal ein paar Tage laufen lassen und auswerten.
 
thom53281 schrieb:
Wie sind denn die Geräte alle so am Router angebunden? Kannst Du mal grob das Netzwerk beschreiben? Wenn die Geräte überwiegend über Kabel dran hängen, so könnte es sich anbieten, einmal einen Switch zwischenzuschalten, welcher portbasiert den Traffic mitschneiden kann. Beispielsweise den TP-Link TL-SG108E (nicht mit dem TL-SG108 verwechseln).
-- Snip --
Zum Vergrößern anklicken....

So speziell muss der Switch gar nicht sein, ganz im Gegenteil - ein 08-15-Popelswitch mit 5 Ports reicht aus, danach musst du nur mit einem Programm rangehen, das ARP-Poisoning kann. Somit bekommst du den gesamten Netzwerkverkehr auf deine Netzwerkkarte gestreamt; wenn das Programm dann auch noch hübsche Auswertungsfunktionen hat, hast du im Handumdrehen alle Clients und auch, was sie so treiben. Cain & Abel war da mal ein echt gutes Tool für Windows, allerdings hat der gute Massimiliano wohl in den letzten drei Jahren keine Zeit zur Weiterentwicklung gehabt.
 
  • Thread Starter Thread Starter
  • #6
Danke für die Antworten!

Im Netzwerk sind 3 Personen unterwegs, alle nur Abends. Am Wochenende hängt öfters mal noch Besuch im WLAN.
Das Netzwerk besteht aus einer FritzBox (die gleichzeitig DSL-Modem ist) und einem billigen TP-Link-Router. Beide Router haben ihr eigenes WLAN (WPS ist an beiden aus).

@musv: Die FritzBox lässt nur Geräte mit bekannten MACs ins WLAN - deshalb MAC-Spoofing. Klar, gegen die eigentliche Verschlüsselung braucht man nochmal andere Angriffe.

@thom53281 / Metal_Warrior: Die Idee gefällt mir :D Würde allerdings ungerne noch extra Hardware anschaffen. Mit ARP-Spoofing könnte da aber was draus werden, wenn ich den Pi dranhänge. Mal sehen...


Finde das aber interessant, dass für euch alle 150GB "nicht viel" ist. Mein letzter Stand war 20gb/Monat (müsste so 2014 rum gewesen sein)...


Habt ihr zu meiner zweiten Frage auch Ideen? Kann man irgendwie feststellen ob ein Gerät im Netzwerk das "Echte" ist, oder ob jemand Anderes die MAC-Adresse des Geräts vortäuscht (und damit die übliche IP zugewiesen bekommt)? Portscans auf sämtliche Geräte sind wohl zu viel des Guten...
 
Metal_Warrior schrieb:
So speziell muss der Switch gar nicht sein, ganz im Gegenteil - ein 08-15-Popelswitch mit 5 Ports reicht aus, danach musst du nur mit einem Programm rangehen, das ARP-Poisoning kann.
Zum Vergrößern anklicken....
Sicherlich geht das auch, keine Frage. Dennoch hat der Switch einige interessante Features, die hier helfen könnten, wenn man die entsprechenden Geräte per Kabel angeschlossen hat. Beispielsweise kann man damit einen Port spiegeln oder er schneidet auch die Pakete pro Port mit:

You do not have permission to view link please Anmelden or Registrieren

(Port 8 ist der Uplink)

Wäre halt wieder mal die Methode für Faule. ;)
 
Ein
You do not have permission to view link please Anmelden or Registrieren
kostet ~60€ und kann noch viel mehr, u.A. auch direkt den Traffic in einer schönen Grafik, inkl.
You do not have permission to view link please Anmelden or Registrieren
, anzeigen.

Sieht dann so aus:
awR5TFy.png
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben