Wireshark: Aufgelöste Adressen nicht nachvollziehbar
Hallo zusammen,
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
ich habe mal eine Anfängerfrage zu Wireshark:
Wenn ich mir unter Statistiken -> aufgelöste Adressen die Hosts-Tabelle anschaue, tauchen da immer wieder Hosts auf die ich nicht nachvollziehen kann und nirgends finde (also weder in der Mitschnittdatei, noch unter Statistiken -> Endpunkte oder unter Statistiken -> Verbindungen).
Wo kommen diese Hosts her? Ich habe (zumindest wissentlich) keine Filtereinschränkungen gesetzt...
Danke für eine kurze Rückmeldung.
Beste Grüße
Rainer
Please also mark the comments that contributed to the solution of the article
Content-Key: 84171226187
Url: https://administrator.de/contentid/84171226187
Printed on: May 19, 2024 at 04:05 o'clock
10 Comments
Latest comment
Wie man eine Frage richtig stellt.
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
- Welche Adressen?
- Welche Hosts?
Wir kennen das/die Netzwerke nicht, welche u gescannt hast.
Heute ist Freitag, da sind die Glaskugeln schon im Wochenende.
Gruss Penny.
Man kann anhand der IP Nummer schon mal erahnen ob sie von Aussen (Internet) kommen oder von intern. Wenn sie von innen kommen, können gute Switche bereits anzeigen auf welchem Port sich der Rechner mit der IP Nummer befindet. Dann nur noch dem Kabel folgen.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenn sie von aussen kommen, hast du bestimmt Ports offen oder einer deiner Rechner hat jemanden aussen kontaktiert, der geantwortet hat. Dann lässt die Firewall die Antwort auch wieder durch, bis zu dem Rechner, der gefragt hat.
Wenns im internen Netz ist kannste das ding anpingen, wenn du im selben Sbunet bist kannst dann in DOS mit:
listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
arp -a
listen welche MAC die IP hat.
Dann aufn Switch gehen und sich die MAC Adressen listen lassen an welchem Port sie sind.
Dann dem Kabel folgen
Externe IP siehe Antwort von NordicMike... kannst auf heise.de Who IS
und die IP suchen, dann siehst auf wen das Netz oder die IP registriert ist.
wenns Microsoft oder so ist, würde ich mir keine Sorgen machen, da funkt halt jemand in die cloud oder so...
Oder andere Hersteller deines Vertrauens...
Der TO hat vermutlich auf ALLE anzeigen geklickt. Zumindestens bei den Mac Adressen, Well known Adressen und Funktionaladressen werden dann logischerweise im Default ALLE angezeigt die statisch irgendwelchen Funktionen, Ports oder Anwendungen zugewiesen sind egal ob sie im aktiven Trace vorkommen oder nicht. Z.B. Spanning Tree BPDU Adressen, Broadcast, CDP usw. Hier muss man entsprechend vorfiltern um nur das angezeigt zu bekommen was im aktiven Trace reinkommt wie z.B. .local Hostadressen vom mDNS usw.
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
IPs die man nicht nachvollziehen kann sind oft in Applikationen hartgecodete Zieladressen. Beim sehr geschwätzigen Windows was so gut wie alles nach Hause telefoniert, sofern man als unbedarfter User nicht die Winblows Telemetrie deaktiviert hat, sind das oft IP Adressen der großen Speichernetze Akamai und Co die keiner so richtig auf dem Radar hat.
Bei IPs hilft dann immer ein IP Tracker: https://www.ip-tracker.org
Ja musst du. Diese IP ist ja nur eine Host IP die irgendein Client bei dir als Daten zu einem DNS Request auf den Hostnamen bekommen hat. Ob da dann überhaupt Daten hin geflossen sind ist eine andere Frage.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Primär solltest du also nach TCP/UDP 53 Traffic suchen und wer den Hostnamen angefragt hat. Alternativ in den Inhalten.
Wenn es das denn nun war...
How can I mark a post as solved?
How can I mark a post as solved?