Fritz!Box Datenpaket Mitschnitt Dateigröße Wireshark

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

sstefan1000

Neuer User
Mitglied seit
6 Jun 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo, ich schneide über die Capture-Funktion meiner FB 3272 (OS 06.03) die Datenpakete des Routers mit, um den Datenverkehr aller Netzwerkgeräte zu dokumentieren. Dabei kommt es mir nur auf die reinen Log-Daten an. Offenbar werden aber in der erzeugten .eth-Datei auch Datei-Inhalte gespreichert (wie die Bezeichnung "Datenpakete" schon vermuten läßt). Das hat zur Folge, daß die Dateigröße schnell wächst. In 24 Stunden kamen so zuletzt 1,7 GB zustande. Wie gesagt: Die Datei-Inhalte (z.B. Audio) interessieren mich nicht, ich will nur lesen, welche Datenverbindungen zustande gekommen sind.

Jetzt habe ich festgestellt, daß die aufgezeichnete eth-Datei erheblich reduziert wird, wenn man sie anschließend in wireshark unter einem anderem Format abspeichert. Ich weiß aber nicht, ob dabei auch alle Log-Informationen erhalten bleiben. Ich habe die Vermutung und die Hoffnung, daß sich die Datei so abspeichern läßt, daß Datei-Inhalte verloren gehen und nur die Log-Infos übrig bleiben. Liege ich richtig? Oder was kann ich sonst tun, um die Datei-Größe zu verringern? Hoffe, ich könnt mir helfen.
 
Ich habe das genaue gegenteilige Problem. Aber zunächst zu Deiner Frage (falls das Thema noch interessiert).
Du kannst ja beim capture-Bildschirm die maximale Paketlänge angeben. Ich weiß nun nicht welche Log-Informationen Dich genau informationen. Aber so ein TCP-Header ist üblicherweise ca. 66 Bytes (oder weniger) lang. Wenn die Ports nicht interessieren, dann kannst Du auch nur die IP-Header protokollieren dann wärst Du runter auf 34 Bytes pro Packet. Was dann jeweils verloren geht, sind die Nutzdaten. Also HTTP oder (teilweise) UDP Nutzdaten wie z.B. Nameserver Anfragen/Antworten.

Die Längen beziehen sich auf Pakete ohne PPPoE Daten o.ä., die z.B. vom Capture-Interface "Router" geliefert werden.

Zu meinem Problem:
Ich habe das gegenteilige Problem. Die Daten sind zu klein. Ich bekomme zwar beim Capture auf den verschiedenen Interfaces durchaus auch sinnvolle Daten. Allerdings fehlt z.B. bei Downloads teils der komplette Download. Die Bestätigungspakete (Ack) vom Client an den Server sind drin, aber die Sendung fehlt komplett. Bei einem Download von 1MB ist das capture-file dann auch nur jeweils so 50-100k groß. Wireshark meldet dann für die Acks auch tonnenweise "TCP ACKed unseen segment"

Beim Gegenversuch mit einem Lokalen Capture von Wireshark (ohne Fritzbox) sind bei so einem Download sowohl die Pakete des Downloads als auch die Acks (ohne Meckerei von Wireshark) drin.

Aktuell vermute ich, daß meine FB die fehlenden Pakete "absichtlich" unterschlägt.
 
Interessant

Welche Fritz!Box war das nochmal?
...mit welcher Firmware?
 
Hallo koyaanisquatsi,
zu meinem Problem. Die Ursache für die unterschlagenen Pakete habe ich grad gefunden:
Es ist vermutlich der "Packet-Accelerator" welche die Pakete an tcpdump vorbeischleust.
http://www.ip-phone-forum.de/showthread.php?t=263618

FB ist eine 7390 FW 6.20

Ich bastelte hier gerade probehalber an fritzcap.py herum, um den Durchsatz je lokaler IP zu bestimmen, aber es kam eben kein Durchsatz in Downloadrichtung...

Edit:
Jau es lag daran:
cd /proc/net/avm_pa/
echo disable>control
cat status

Und die Pakete kommen vollständig. (Dafür leidet ggf. der Durchsatz)
 
Zuletzt bearbeitet:
IPFoehn schrieb:
Aber zunächst zu Deiner Frage (falls das Thema noch interessiert). [...] Ich weiß nun nicht welche Log-Informationen Dich genau informationen.
Zum Vergrößern anklicken....
Ja, ich habe das Problem bisher nicht gelöst. Übringens waren "1,7 GB" nur meine erste Erfahrung. Und da war ich schon geschockt. Mittlerweile habe ich erfahren, daß in 24 h locker bis zu 10 GB zusammenkommen können.

Welche Informationen mich genau interessieren, hätte ich natürlich erwähnen sollen. Um es kurz zu machen: Ich möchte im Fall der Fälle nachprüfen können, wer illegales Filesharing betrieben hat. Ich weiß, das hören manche wegen des Datenschutzes nicht gern, aber wenn es darum geht, mich vor Schaden zu schützen (bis zu 25.000 Euro Strafe), den andere verursachen, dann interessiert mich der Datenschutz der Verursacher herzlich wenig.

Ich habe also ein kleines Netzwerk, in dem Mitbewohner den DSL-Anschluß kostenlos mit benutzen können. Mein Hauptserver ist die Fritzbox, über D-Lan sind weitere Router angeschlossen, für jeden Mitbewohner einer. Die Fritzbox ist so konfiguriert, daß sie die IPs nur an diese Router vergibt. In der Netzwerkumgebung sehe ich also nur diese Router als Clients, egal welches Gerät jeweils angeschlossen ist.

Wenn also der nächste Brief wegen illegalen Filesharings kommt, kann ich nachgucken, welcher Client eine entsprechende Plattform benutzt hat. Alle Nutzer sind übrigens informiert. Also brauche ich nur Informationen wie aufgerufene IP bzw. URL, vielleicht noch den benutzten Port. Das muß doch mit ein paar kB pro Tag zu machen sein. Würden also die angesprochen TCP-Header für diesen Zweck ausreichen?
 
Die eingebaute Capture Funktion schreibt ja alles in ein file auf deinem Rechner das wireshark (und somit auch tshark) lesen kann. mit tshark kann man alle moeglichen Filter definieren und das ergebnis dann in eine neue datei schreiben. mit -qnz conv,tcp kann man sich auch alle TCP Verbindungen mit source/destination IP und port anzeigen lassen (allerdings ohne Datum/Uhrzeit).
Googel mal nach "man tshark"

Wenn du den trace auf der LAN Seite laufen laesst, bekommst du zwar als source nur die private IP deines Benutzers aber die public IP des Servers, sollte eigentlich reichen
 
Hallo sstefan1000,
für eine komplette URL würde der TCP-Header nicht reichen. HTTP-Kommunikation läuft in den Nutzdaten eines oder mehrerer Pakete. Wie essex_man bereits schrieb, bekommt man aber immerhin die IPs der Beteiligten mit.

Ich finde die Idee von ihm auch gut, einen Filter zwischenzuschalten. Eventuell kann man das gleich über eine Pipe von z.B. wget machen:
http://www.wehavemorefun.de/fritzbox/IP-Pakete_mitschneiden

So spart man sich das Zwischenspeichern des ursprünglichen traces als Datei. Natürlich macht das dennoch traffic im LAN.
Die Alternative wäre die Daten direkt auf der Fritzbox zu verwursten. Dazu wäre vermutlich aber eine alternative Firmware notwendig die auch ein "tcpdump" mitbringt und die Installation von zusatztools (z.b. eben tshark) erlaubt. So könnte man bereits reduzierte Daten auf z.B. einen USB-Stick schreiben. (Falls die CPU der Fritzbox das mitmacht)

Was ganz anderes:
Die Fritzbox bringt mit ihrer "Kindersicherung" auch Filter für "BitTorrent" und "eMule" mit. Ob diese wirklich was bringen (und vor allem nicht umgangen werden können) ist sicher zweifelhaft, aber kann ja nicht schaden sie zu aktivieren oder?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 220 (Mitglieder: 3, Gäste: 217)

Neueste Beiträge

Statistik des Forums

Themen
245,856
Beiträge
2,241,270
Mitglieder
373,142
Neuestes Mitglied
FEY CARLOS
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück