Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Wie analysiere ich den Datenverkehr von und zu meinem PC?

mawe2 / 13 Antworten / Baumansicht Nickles

Die ganze Diskussion um die Schwatzhaftigkeit von Windows 10 lässt ein Problem in den Vordergrund treten, das eigentlich auch bei allen anderen Systemen zu erwarten ist:

Der Rechner sendet - unbemerkt von Nutzer und ohne dessen Veranlassung - Daten an andere Rechner im Internet.

Nun wäre es ja nicht nur bei Win 10 sehr nützlich zu wissen, mit welchen Adressen sich mein Rechner in Verbindung setzt und welche Daten dorthin wandern.

Zuletzt hat jueki in einem anderen Thread auf diesen Artikel aufmerksam gemacht:

http://www.t-online.de/computer/software/id_75053792/windows-10-funkt-mysterioese-daten-ins-internet.html

Dort wird beschrieben, dass das Technik-Magazin "Ars Technica" den Traffic und die Ziele des Traffics von Windows 10 analysiert hat.

Wie aber wird das gemacht? Welche Software braucht man dafür? Wie ist das konkrete Vorgehen?

Statt immer nur zu mutmaßen, dass ein Rechner dieses oder jenes macht, wäre es doch viel besser, es einfach zu wissen.

Hat jemand damit Erfahrung und kann sein Wissen mit uns teilen?

Ich denke, wenn man die (befürchteten oder tatsächlichen) Probleme mit Windows 10 zum Anlass nehmen würde, in dieser Hinsicht mehr Klarheit zu bekommen, dann hat Windows 10 schon einen Sinn gemacht!

Gruß, mawe2

bei Antwort benachrichtigen
giana0212 mawe2 „Wie analysiere ich den Datenverkehr von und zu meinem PC?“
Optionen

Die Jungs und Mädels von Sempervideo nutzen dafür Wireshark:

https://www.wireshark.org/

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
gelöscht_238890 mawe2 „Wie analysiere ich den Datenverkehr von und zu meinem PC?“
Optionen

Man kann und muss wahrscheinlich sogar dagegen halten.
Aus früheren Tagen dürfte es sicher noch einigen bekannt sein, obwohl es von vielen verteufelt wurde, mir hat es immer sehr genutzt.
Die Rede ist von "ZoneAlarm":

http://www.heise.de/download/zonealarm-free-firewall.html

Diese Software, in der Pro Version, liste jede Adresse auf, die vom PC angewählt wird und kann diese auf Wunsch natürlich auch sperren.
Kann man natürlich auch über die "hosts" Datei, wenn man die Adressen kennt.

Aber, man sollte aufpassen und immer schön alles sichern. Denn ich könnte mir vorstellen, dass sich Windows wehrt, wenn es sich verarscht fühlt und sich dann selber irgendwann sperrt.

bei Antwort benachrichtigen
mawe2 gelöscht_238890 „Man kann und muss wahrscheinlich sogar dagegen halten. Aus ...“
Optionen

ZoneAlarm ist ja eigentlich ein uralter "Bekannter". Sollte es tatsächlich so einfach sein, dass diese Software hier alles Nötige veranlassen kann? Einen Versuch ist es sicher wert. Danke für den Tipp!

Gruß, mawe2

bei Antwort benachrichtigen
jueki gelöscht_238890 „Man kann und muss wahrscheinlich sogar dagegen halten. Aus ...“
Optionen
Die Rede ist von "ZoneAlarm":

Ich habe damit selbst noch nie gearbeitet, nutzte unter XP die "Sygate- Firewall".
Und seit Win7 garkeine mehr.

Mir sind da noch Behauptungen erinnerlich, das Zonealarm "zwar schön bunt sei, aber auch recht leicht umzudrehen".

Hast du dazu Erkenntnisse?

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
giana0212 mawe2 „Wie analysiere ich den Datenverkehr von und zu meinem PC?“
Optionen

Außerdem gibt es auch Videos, die erklären, wie man Funktionen abschaltet und welche Adressen man in die Hosts-Datei eintragen muss und wie man das macht:

https://www.youtube.com/watch?v=J8J1UGEloGo

https://www.youtube.com/watch?v=S-gbINru_9s

Viel Spaß beim Gucken.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
mawe2 giana0212 „Außerdem gibt es auch Videos, die erklären, wie man Funktionen ...“
Optionen

Danke auch für diese Tipps.

Es geht mir aber weniger darum, irgendwas zu deaktivieren, was irgendjemand irgendwo gefunden hat sondern mehr darum, auch langfristig einen Überblick über den Traffic zu bekommen.

Auch bei SemperVideo lautet ja jeder zweite Satz "das funktioniert im Moment, kann aber demnächst auch nicht mehr funktionieren..." Genau das ist ja das Problem.

Wenn man jetzt den Traffic selbst überwacht, wird man selbst feststellen können, welche Kommunikation man unterbinden muss.

Das mit einer Firewall zu erledigen, erscheint logisch. U.U. müsste es eben eine externe Firewall sein, denn eine lokal installierte Firewall wird ja von Microsoft (aber auch von anderen) auch wieder umgangen werden können.

Was ich in dem zweiten Video nicht ganz kapiere ist am Ende der Tipp mit der *.etl-Datei. Wozu wird die angelegt? Der Sprecher sagt, dass "das funktionieren kann". Aber was genau meint er? Was ist der Zweck dieser Datei?

Was ich auch nicht verstehe: Was hindert Microsoft eigentlich daran, bei den eigenen URLs die hosts-Datei zu ignorieren?

Gruß, mawe2

bei Antwort benachrichtigen
giana0212 mawe2 „Danke auch für diese Tipps. Es geht mir aber weniger darum, ...“
Optionen

Hi, Mawe2.

Das mit der Erstellung der Datei wird nicht erklärt. So ganz verstanden habe ich das auch nicht, es geht wohl darum, gesammelte Tipps aus dem Netz umzusetzen, die Erklärung für die Datei fehlt aber.

Der dritte Teil ist raus, die zeigen 5 Tools, die behaupten, in Windows die Spy-Funktionen abzuschalten.

https://www.youtube.com/watch?v=NbLNpBDINYg

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
giana0212 mawe2 „Danke auch für diese Tipps. Es geht mir aber weniger darum, ...“
Optionen

Hi, Mawe2.

Das mit der etl-Datei konnte ich nicht mehr herausfinden. Jeder hat von Jedem abgeschrieben, Treffer gibt es massenhaft dazu, erklärt hat es niemand.

Das sieht dann oft so aus:

http://forum.notebookreview.com/threads/windows-10-tweaks-and-fixes-index-post-1.779394/page-3

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
the_mic mawe2 „Wie analysiere ich den Datenverkehr von und zu meinem PC?“
Optionen

Du brauchst nur einen Rechner mit zwei NICs, die als Bridge zusammengefasst werden, der zwischen die abzuhörende Kiste und den Internetzugang gestöpselt wird. Der über die Bridge laufende Netzwerkverkehr kann dann mittels tcpdump oder wireshark mitgeschnitten werden.

Dies hat jedoch den Nachteil, dass man nur auf IP-Ebene (ISO/OSI Layer-3) mitschneiden kann. Per SSL/TLS verschlüsselter Verkehr ist somit nur als Ciphertext einsehbar. Um dies zu umgehen, müssten entsprechende transparente Proxies eingebaut werden, welche als Man-In-The-Middle agieren. Dies lässt sich jedoch durch Certificate-Pinning auf Clientseite erkennen.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
mawe2 the_mic „Du brauchst nur einen Rechner mit zwei NICs, die als Bridge ...“
Optionen

Was wäre der Unterschied zwischen der Verwendung von Wireshark auf dem betreffenden Rechner und der Verwendung von Wireshark auf einem separaten (zwischengeschalteten) Rechner?

Dass verschlüsselte Kommunikation nochmal schwieriger zu analysieren sein dürfte, ist klar.

Gruß, mawe2

bei Antwort benachrichtigen
the_mic mawe2 „Was wäre der Unterschied zwischen der Verwendung von Wireshark ...“
Optionen

Du hast die Gewissheit, dass du alles mitschneidest und sich das abzuhörende System identisch verhält, wie wenn es nicht abgehört wird. Insbesondere bei Malware-Analyse ist das wichtig, da hochentwickelte Malware ihr Verhalten ändern kann, wenn sie merkt, dass sie untersucht wird.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
giana0212 mawe2 „Wie analysiere ich den Datenverkehr von und zu meinem PC?“
Optionen

Hi, Mawe2.

Sempervideo hat gerade noch ein Tool vorgestellt, das Anfragen ins Netz protokolliert:

https://www.youtube.com/watch?v=NnGw4beIMWo

Gruß

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
mawe2 giana0212 „Hi, Mawe2. Sempervideo hat gerade noch ein Tool vorgestellt, das ...“
Optionen

Danke für den Tipp!

Grundsätzlich ist das ja eine nette Sache, der Sprecher erklärt aber auch gleich direkt im Video, warum es nicht viel bringen wird: Schadsoftware, die wirklich was auf sich hält, wird die DNS-Abfrage natürlich umgehen und direkt per IP-Adresse kommunizieren.

Deswegen funktioniert die (auch hier) gern propagierte Sperrung per hosts-Datei auch nur bedingt.

Die früher mal angedachten (und teilweise auch schon realisierten) Internetsperren (Stichwort: "Zensursula") haben ja auch nur auf DNS-Basis gesperrt und waren somit quasi "Schlangenöl".

Aber wer die DNS-Anfragen gern mal kontrollieren will, hat hiermit natürlich ein nettes Werkzeug.

Gruß, mawe2

bei Antwort benachrichtigen