# Netzwerkverkehr protokollieren



## neuer_user (26. November 2006)

liebes Forum, ich habe ein Netzwerk, das aus ca. 10 Rechnern besteht. Ich müsste nun den Datenverkehr protokollieren. Und zwar müsste es möglich sein an einem Zentralrechner alles lesen zu können. So z.b. die aufgerufenen Seiten und Heruntergeladene Dateien. Was könnt ihr mir da empfehlen? Danke


----------



## Dennis Wronka (27. November 2006)

Hi, willkommen im Forum.

Die koenntest dafuer im Grunde Wireshark nutzen. Dabei werden die vollstaendigen Pakete geloggt sodass sich im Grunde sogar die Nutzdaten (Websiten, Bilder, andere Dateien) daraus extrahieren lassen. Das einzige Problem dabei ist, dass der ueberwachende Rechner alle Pakete sehen muss, also entweder muss das Netzwerk mit einem Hub ausgestattet sein, der Rechner an einem "Sniffer-Port" am Switch haengen oder der Rechner selbst ein Router sein durch den dann eben alles hindurchgeht.


----------



## neuer_user (27. November 2006)

Danke, daran habe ich auch schon gedacht, aber Ethereal ist nicht gerade übersichtlich. Gibts da was anderes? Kann auch etwas kosten.


----------



## Dennis Wronka (28. November 2006)

Was findest Du daran denn unuebersichtlich? Es werden Dir eine Menge Informationen angezeigt, aber genau das will man doch, oder nicht? Und man kann ja auch mi einem Filter arbeiten um dann nur bestimmte Pakete (z.B. HTTP-Pakete zu tutorials.de  ) zu sehen.
Ich persoenlich find Wireshark gut bedienbar und alles andere als unuebersichtlich.
Ich nutze es z.B. (unter anderem) dazu um meine Firewall-Logs auszuwerten.


----------



## neuer_user (28. November 2006)

Ok, stimmt auch wieder, ist es denn möglich das Protokoll automatisiert zu speichern? Ist es z.b. möglich Ethereal 12 Stunden am Stück laufen zu lassen und am Ende nur Seiten anzuzeigen die aufgerufen wurden (Port 80 z.b.), also nur die Domains und nicht die ganzen Bilder usw., das wäre zu viel des guten.


----------



## Dennis Wronka (28. November 2006)

Es sollte moeglich sein beim Capture-Filter anzugeben, dass nur SYN-Pakete an Port 80 und 443 geloggt werden sollen. Dabei wirst Du dann zwar nicht mehr feststellen koennen ob die Verbindung erfolgreich war, aber Du solltest einen Ueberblick darueber haben mit welchen IPs auf dem HTTP(S)-Port verbunden wurde/werden sollte.
Oder Du loggst alles was HTTP ist und rausgeht, aber nicht das was wieder reinkommt. So kannst Du dann auch nachvollziehen worauf genau zugegriffen wurde. Aber speicherst eben nicht den ganzen Kram der dann zurueckkommt.


----------



## neuer_user (28. November 2006)

Danke schön, ich denke das Programm reicht dann aus. Mit übersichtlich meine ich z.b. das man die einzelnen IPs hat, die dann anklicken kann, dann z.b. HTTP anklicken kann und dann hat man da eine schöne Tabelle. Also für Leute die da nicht so viel Ahnung von haben.


----------



## Dennis Wronka (28. November 2006)

Nichts zu danken.
Ich wuerd sagen Du solltest Wireshark einfach mal installieren und gucken ob Du damit zurecht kommt. Das ist zwar ein maechtige Programm, aber im Grunde garnicht so schwer zu verstehen.
Uebrigens, da Du die ganze Zeit von Ethereal sprichst denke ich ist es noch sinnvoll zu erwaehnen, dass Ethereal nun unter dem Namen Wireshark weiterentwickelt wird. Es gibt zwar Ethereal weiterhin auf der altbekannten Seite zum Download, aber wie es aussieht tut sich da nichts mehr.
Der Grund dafuer ist, dass der Hauptentwickler den Arbeitgeber gewechselt hat, jedoch die Namensrechte fuer Ethereal bei eben diesem liegen. Darum der Name Wireshark.
Und da wohl so gut wie alle Mitentwickler die an Ethereal gearbeitet haben weiterhin mit dem gleichen Typen zusammen arbeiten wollen arbeiten auch diese nun an Wireshark.

Funktional und optisch unterscheiden sich die Programme aber (bisher) meiner Meinung nach nicht. Bei den bisherigen Updates duerfte es sich also eher um Kleinigkeiten und die Beseitigung von Sicherheitsluecken (ja, auch ein Sniffer kann sowas haben  ) handeln.


----------



## neuer_user (28. November 2006)

Wireshark bzw. Ethereal habe ich schon seit Jahren auf dem PC, aber nicht jeder kann damit umgehen ;-)


----------



## AndreG (1. Dezember 2006)

Moin,

Eine andere Möglichkeit wäre es, alles über einen Transparenten Proxy zu schleifen. Da ist sogar, soweit ich weiß, eine grafische Ausgabe möglich.

Mfg Andre


----------

