ohne einen aktiven MitM-Angriff durchführen zu müssen
Wäre zwar auch eine Möglichkeit, aber es ist aufwändiger. Wäre ja mit Cain&Abel oder Backtrack möglich.
2 Ethernet-Schnittstellen oder eine WLAN- und Ethernet-Schnittstelle
Also eine LAN Schnittstelle, die ich auch aktiv nutze, und eine W-LAN, z.B. per Stick? Habe ich so jetzt noch nie gemacht. Und wie diese dann bridgen? Hierzu eine Frage: warum muss (in diesem Fall oder immer?) LAN und W-LAN genutzt werden, um ganz sicher alle Daten zu sniffen? Würde das auch mit Volatility gehen?
allerdings könnte aktive Malware die Ergebnisse (gezielt) verfälschen.
Ja, dieses Probelm würde tatsächlich bestehen.
Mir wird aus deiner Beschreibung nicht klar, welches Wireshark-Panel du damit meinst.
Also, ich habe mirgesnifft. Ich habe im oberen der drei Fenster, also dort, wo die Netzwerkpakete, die Protokolle usw. stehen, gesehen, dass dort die Telnetverbindung auftaucht.
Bei den Paketdetails, also dem zweiten Fenster (dort, wo auch OSI Layer usw. zu fnden ist, habe ich eben gesehen, dass es von meiner IP, also der lokalen IP (je nach Ansicht, also OSI Layer II usw. die Ziel IP (öffentliche IP des Servers) aus geht.
Im dritten Fenster, also Hex Dump, habe ich keine Daten in Klarsicht gesehen - ich habe aber uach nur kurz geschaut, da ich dann soweiso runtergefahren habe. Dort müssten ja eig. Daten stehen, oder nicht?
Das ist in Wireshark per Rechtsklick auf eines der Pakete möglich - wähle im Kontextmenü `Follow TCP stream`.
Werde ich ebenalls testen! VIELEN DANK schon mal! Ist auch gut um zu "üben" - Meine DAten, also Passwörter habe ich bereits von einem anderen System geändetr. Es ist also nicht so schlimm, wenn ich kurzzeitig nochmals mitsniffe.
Edit: Ich lasse nun einmal auf meinem Rechner Wireshark laufen. Es sind wieder Telnet Verbindungen vorhanden. Übertragen wird es ja als Textdatei (steht ja schon im Cain & Abel). Ich habe auch "Follow TCP Stream", jedoch werden zwar lateinische Buchstaben angeziegt und viele Zeichen, aber es ist ein Wirrwar. Ich kann dort die Einstellung auf "Entiere Connections" oder so ähnlich lassen, obder Rohdaten anzeigen lassen, indem ich "Meine IP - IP Des Servers" anzeigen lassen. Dort stehem auch die Ports dabei.
Edit: Ich stelle gerade fest, dass es sich anscheinend um einen Tor Exit Node handelt. Ich nutze den Tor Brwoser. DA der Hostname nicht auf Tor hindeutet, habe ich nicht an Tor gedacht, da ich natürlich bereits eine WHOIS abfrage durchgeführt bzw. die IP aufgelöst habe. Aber kann das trotzdem normal sein?
Edit2: Testweise habe ich das Tor Browser Bundle beendet - paralle dazu wurde Telnet geschlossen. Es wurden laut Cain & Abel insg. 815890 Bytes übertargen, das heißt, ~ 796 KB, was etwa 0,7 MByte entspricht. Allerdings wäre das für den allgemeinen Tor Traffic wieder zu wenig. Für die Angaben in Wireshark würde es aber passen. Bei dem gesetzen Filter "tcp.stream eq 25" zeigt sich, dass die übertragegen Daten ~ 640 Byte (Capture Length) sind, also sehr, sehr wenig. Manchmal nur 54 Bytes.
Die IP ist laut "ipvoid.com" auch nicht geblacklistet.