PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie mit Wireshark den gesamten Traffic über Monate aufzeichnen?



Noether
23.08.12, 22:26
Nachdem mir die Kanzlei Waldorft seit zwei Monaten jeden Monat eine Abmahnung wegen irgendeinem mir unbekannten und obskuren Film schickt, der der Beschreibung nach in die Kategorie "geschenkt ist noch zu teuer" gehört, bin ich am Überlegen meinen gesamten Traffic mit Wireshark aufzuzeichnen um einen Gegenbeweis gegen dieses Urheber-Trollen zu haben.
Weil auf meinem Internetzugangsrechner Server wie Tor laufen und er ständig eingeschaltet ist, sind pro Monat um 800 GB aufzuzeichnen und zwar möglichst lückenlos. Das sollte ja mit 3 TB SATA-HDDs machbar sein, aber wie bekomme ich das lückenlos hin? :confused:

Dem Wireshark kann ich zwar eine Datei angeben, aber eine 3 TB große Datei wäre etwas groß und es soll nach dem Vollschreiben einer Platte automatisch auf die nächste gewechselt werden und zwar lückenlos.

fork
24.08.12, 00:51
Also ich würde das nicht per Wireshark machen sondern mit tcpdump, nachdem letzteres ein Kommandozeilentool ist und sich daher also einfacher automatisieren lässt.

Den tcpdump-output kann man dann auch mit wireshark einlesen.

Den tcpdump würde ich dann irgendwie so steuern, dass er für jeden Tag genau genau ein Dumpfile anlegt mit vernünftigem Namen(tcpdump-yyyy-mm-tt-MM-SS.raw)

Umsetzung:

- Für die Umsetzung würde ich djbs daemontools(http://cr.yp.to/daemontools.html, von Debian weiss ich dass es Pakete im Repository gibt, vielleicht auch bei anderen Distris) verwenden um den tcpdump als Dienst immer laufen zu lassen. Schön ist bei den Daemontools dass der Dienst bei Absturz automatisch neu gestartet wird.

- Den Dienst würde ich dann immer 0:00 Uhr unterbrechen(cron job), dann gibt's für jeden Tag genau ein Logfile. Da fehlen dann vielleicht ein paar Sekunden beim Neustart von tcpdump. Wenn Du's noch genauer haben willst, grab Dich durch die Manpage von tcpdump. Der kann das auch noch besser. Tägliche Dumps finde ich gut, weil man kleinere Dumps besser handhaben kann.

Also ein bisschen Manpage lesen. Ein bisschen Shellscripten. Alles kein Hexenwerk, aber vielleicht etwas Arbeit, wenn man sich damit noch nicht so auskennt.

fork();

TheDarkRose
24.08.12, 12:36
Ich würde TOR unkonfigurieren, das du nie ein Exit-Node bist.

nopes
24.08.12, 17:02
Und vor allem, erkundige dich, wie man das richtig logt! Also so, dass du es auch gebrauchen bzw. rechtlich geltend machen kannst. Da wird dir vermutlich nur ein "Rechtsverdreher" helfen können, jedenfalls habe ich starke Zweifel, dass eine Log-Datei standhält, da diese manipuliert werden kann.

Noether
24.08.12, 20:08
Den tcpdump-output kann man dann auch mit wireshark einlesen.


Umsetzung:

- Für die Umsetzung würde ich djbs daemontools(http://cr.yp.to/daemontools.html,

- Den Dienst würde ich dann immer 0:00 Uhr unterbrechen(cron job), dann gibt's für jeden Tag genau ein Logfile.
fork();

Aha, danke für die Hinzweise.
Statt daemontools nehme nehme ich lieber logrotate, mit dem man ohne Unterbrechung aufzeichnen können sollte.

Noether
24.08.12, 20:16
Ich würde TOR unkonfigurieren, das du nie ein Exit-Node bist.

Nein, auch weil das nicht reichen würde, denn ich biete per Bittorrent Iso-Images von Knoppix und Kubuntu an und ich vermute das meine IPs darüber wahllos gesammelt wurden, nach dem Motto "Es reicht schon wenn nur jeder zweite zahlt" und "wenn irgendwas per Bittorrent online gestellt wird, hängen wir mal da was ran; das ist ja plausibel".
Und über Tor werden die Daten vom Bittorrent nicht übertragen, weil die per UDP transportiert werden, das Tor nicht überträgt - so wie auch einfache Proxies.

Noether
24.08.12, 20:20
Und vor allem, erkundige dich, wie man das richtig logt! Also so, dass du es auch gebrauchen bzw. rechtlich geltend machen kannst. Da wird dir vermutlich nur ein "Rechtsverdreher" helfen können,

Nein, die haben davon überhaupt keine Ahnung. Und selbst zu Bereichen wo sie Ahnung haben, gilt das Motto "zwei Experten, drei Meinungen". Das nennt man z. B. richterliche Unabhängigkeit und in Zivilprozessen reicht schon eine vermutete Schuld.




jedenfalls habe ich starke Zweifel, dass eine Log-Datei standhält, da diese manipuliert werden kann.

Also mehrere Gigabyte zu manipulieren, so das es nicht auffällt, dürfte kaum möglich sein. Und zudem kann die Gegenseite nicht mehr vorweisen, so das sie in jedem Fall in der Defensive wäre.

TheDarkRose
25.08.12, 10:35
Kein Tor-Exit-Node sein und nur Linux ISO's per Torrent. Anwalt ignorieren.