Anzeige:
Ergebnis 1 bis 8 von 8

Thema: Wie mit Wireshark den gesamten Traffic über Monate aufzeichnen?

  1. #1
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121

    Question Wie mit Wireshark den gesamten Traffic über Monate aufzeichnen?

    Nachdem mir die Kanzlei Waldorft seit zwei Monaten jeden Monat eine Abmahnung wegen irgendeinem mir unbekannten und obskuren Film schickt, der der Beschreibung nach in die Kategorie "geschenkt ist noch zu teuer" gehört, bin ich am Überlegen meinen gesamten Traffic mit Wireshark aufzuzeichnen um einen Gegenbeweis gegen dieses Urheber-Trollen zu haben.
    Weil auf meinem Internetzugangsrechner Server wie Tor laufen und er ständig eingeschaltet ist, sind pro Monat um 800 GB aufzuzeichnen und zwar möglichst lückenlos. Das sollte ja mit 3 TB SATA-HDDs machbar sein, aber wie bekomme ich das lückenlos hin?

    Dem Wireshark kann ich zwar eine Datei angeben, aber eine 3 TB große Datei wäre etwas groß und es soll nach dem Vollschreiben einer Platte automatisch auf die nächste gewechselt werden und zwar lückenlos.

  2. #2
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    1.175

    Arrow

    Also ich würde das nicht per Wireshark machen sondern mit tcpdump, nachdem letzteres ein Kommandozeilentool ist und sich daher also einfacher automatisieren lässt.

    Den tcpdump-output kann man dann auch mit wireshark einlesen.

    Den tcpdump würde ich dann irgendwie so steuern, dass er für jeden Tag genau genau ein Dumpfile anlegt mit vernünftigem Namen(tcpdump-yyyy-mm-tt-MM-SS.raw)

    Umsetzung:

    - Für die Umsetzung würde ich djbs daemontools(http://cr.yp.to/daemontools.html, von Debian weiss ich dass es Pakete im Repository gibt, vielleicht auch bei anderen Distris) verwenden um den tcpdump als Dienst immer laufen zu lassen. Schön ist bei den Daemontools dass der Dienst bei Absturz automatisch neu gestartet wird.

    - Den Dienst würde ich dann immer 0:00 Uhr unterbrechen(cron job), dann gibt's für jeden Tag genau ein Logfile. Da fehlen dann vielleicht ein paar Sekunden beim Neustart von tcpdump. Wenn Du's noch genauer haben willst, grab Dich durch die Manpage von tcpdump. Der kann das auch noch besser. Tägliche Dumps finde ich gut, weil man kleinere Dumps besser handhaben kann.

    Also ein bisschen Manpage lesen. Ein bisschen Shellscripten. Alles kein Hexenwerk, aber vielleicht etwas Arbeit, wenn man sich damit noch nicht so auskennt.

    fork();
    Geändert von fork (24.08.12 um 01:05 Uhr)

  3. #3
    Freelancer Avatar von TheDarkRose
    Registriert seit
    Jun 2009
    Ort
    Oberalm
    Beiträge
    669
    Ich würde TOR unkonfigurieren, das du nie ein Exit-Node bist.
    foo bar

  4. #4
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Und vor allem, erkundige dich, wie man das richtig logt! Also so, dass du es auch gebrauchen bzw. rechtlich geltend machen kannst. Da wird dir vermutlich nur ein "Rechtsverdreher" helfen können, jedenfalls habe ich starke Zweifel, dass eine Log-Datei standhält, da diese manipuliert werden kann.
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  5. #5
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121
    Zitat Zitat von fork Beitrag anzeigen
    Den tcpdump-output kann man dann auch mit wireshark einlesen.


    Umsetzung:

    - Für die Umsetzung würde ich djbs daemontools(http://cr.yp.to/daemontools.html,

    - Den Dienst würde ich dann immer 0:00 Uhr unterbrechen(cron job), dann gibt's für jeden Tag genau ein Logfile.
    fork();
    Aha, danke für die Hinzweise.
    Statt daemontools nehme nehme ich lieber logrotate, mit dem man ohne Unterbrechung aufzeichnen können sollte.

  6. #6
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121
    Zitat Zitat von TheDarkRose Beitrag anzeigen
    Ich würde TOR unkonfigurieren, das du nie ein Exit-Node bist.
    Nein, auch weil das nicht reichen würde, denn ich biete per Bittorrent Iso-Images von Knoppix und Kubuntu an und ich vermute das meine IPs darüber wahllos gesammelt wurden, nach dem Motto "Es reicht schon wenn nur jeder zweite zahlt" und "wenn irgendwas per Bittorrent online gestellt wird, hängen wir mal da was ran; das ist ja plausibel".
    Und über Tor werden die Daten vom Bittorrent nicht übertragen, weil die per UDP transportiert werden, das Tor nicht überträgt - so wie auch einfache Proxies.

  7. #7
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121
    Zitat Zitat von nopes Beitrag anzeigen
    Und vor allem, erkundige dich, wie man das richtig logt! Also so, dass du es auch gebrauchen bzw. rechtlich geltend machen kannst. Da wird dir vermutlich nur ein "Rechtsverdreher" helfen können,
    Nein, die haben davon überhaupt keine Ahnung. Und selbst zu Bereichen wo sie Ahnung haben, gilt das Motto "zwei Experten, drei Meinungen". Das nennt man z. B. richterliche Unabhängigkeit und in Zivilprozessen reicht schon eine vermutete Schuld.


    Zitat Zitat von nopes Beitrag anzeigen
    jedenfalls habe ich starke Zweifel, dass eine Log-Datei standhält, da diese manipuliert werden kann.
    Also mehrere Gigabyte zu manipulieren, so das es nicht auffällt, dürfte kaum möglich sein. Und zudem kann die Gegenseite nicht mehr vorweisen, so das sie in jedem Fall in der Defensive wäre.

  8. #8
    Freelancer Avatar von TheDarkRose
    Registriert seit
    Jun 2009
    Ort
    Oberalm
    Beiträge
    669
    Kein Tor-Exit-Node sein und nur Linux ISO's per Torrent. Anwalt ignorieren.
    foo bar

Ähnliche Themen

  1. Gesamten DVB Transponder aufzeichnen
    Von grlim im Forum Fernsehen
    Antworten: 2
    Letzter Beitrag: 24.03.10, 14:58
  2. Gesamten HTTP Traffic auf einen Web-Server umleiten
    Von Popdog im Forum Router und Netzaufbau
    Antworten: 5
    Letzter Beitrag: 17.07.06, 10:38
  3. firestater firewall und eth1
    Von Dragoran im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 06.11.05, 09:42
  4. Traffic aufzeichnen von bestimmten usern
    Von Morph01 im Forum System installieren und konfigurieren
    Antworten: 0
    Letzter Beitrag: 25.05.05, 18:08
  5. LAMP Traffic aufzeichnen
    Von DarkAngelfire im Forum Linux als Server
    Antworten: 7
    Letzter Beitrag: 02.10.04, 20:59

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •