Ping Probleme mit Wireshark

Ruedi

Cadet
Mitglied seit
18.07.2018
Beiträge
5
Renomée
0
Hallo zusammen.
Ich wollte da ein bisschen mit meinem Netzwerk herumspielen.
Schnell meine Systemkonfiguration.
Hauptrechner Win7 (Aktuelle Updates) Netzwerkarte TP-Link 450mps 5Ghz
Darauf Mit VM ein virtuelles Kali Linux.
Ein alter Sony Vaio Laptop mit Kali Linux. (Wireless 5Ghz)
Router ist ein Netgear (dual Band-N)
Internet funktioniert bei allen.
Nun zu Problem.
Wenn ich mit dem Laptop den Router an Pinge bekomme ich beim Laptop
Im Terminal die korrekte Antwort, sowie beim Wireshark (ICMP)
anfrage und Antwort auf dem Laptop.
Soweit so gut.
Jedoch beim Windows 7 System kommt beim Wireshark kein ICMP Paket an,
Ausser ich Pinge mit dem Laptop des Win7 System an.
In umgekehrter Reihenfolge habe ich dasselbe Problem.
An was liegt das?
Es ist noch dazu zu sagen, dass Wirshark durchaus Pakete aufzeichnet die nicht für ihn bestimmt sind.
Einfach mit den ICMP Paketen klappt es nicht.
 
Ist dir bekannt, dass Windows seit dem Einbau der Firewall (also seit XP) standardmäßig nicht auf Pings antwortet? Dies muss man erst in der Firewall freischalten: WF.msc > Eingehende Regeln > Regeln mit "Datei- und Druckerfreigabe (Echoanforderung...)" aktivieren.

Grüße
Dalai
 
Erstmals Danke für die schnelle Antwort.
Ja es ist mir bewusst, dass mein Win7 nicht auf Pings antwortet.
Das Problem ist, dass Wireshark keine Pings aufzeichnet, die nicht auf das System gerichtet sind,
oder von diesem System ausgehen wo Wireshark selber läuft.
Also zum Beispiel:
Mein Win7 Rechner hat die IP 192.168.1.11
Mein Router hat die IP 192.168.1.1
Mein Kali Laptop hat die IP 192.168.1.13

Ich sende ein Ping vom Win7 auf den Router.
Router gibt Antwort, Wireshark auf Win7 zeichnet alle ICMP Pakete auf.
Soweit so gut.
Aber der Wireshark auf dem Kali Laptop hat davon nichts gesehen.
Das heisst kein einziges ICMP Paket wurde auf dem Kali Laptop aufgezeichnet.
Wenn ich jedoch vom Win7 auf den Kali, oder umgekehrt ein Ping sende,
so Zeichnen beide Wireshark die ICMP Pakete auf, aber nur dann.
Die Frage ist warum??
 
Äh, ja klar kann Wireshark nur das aufzeichnen, was auf dem System ankommt. Daher werden Pings (und alle anderen Pakete), die an System X gerichtet sind, nicht von System Y gesehen. Schließlich reden wir hier nicht von Broadcasts oder Port-Mirroring am Switch. Ausnahmen bilden VMs, die z.B. per Bridge im Netz hängen; in einem solchen Fall sieht auch der Host die Pakete, die an den Gast gerichtet sind.

(Ich hoffe, ich hab nun alles richtig verstanden. Sollte dem nicht so sein, bitte ich um einen virtuellen Klaps auf meinen Hinterkopf ;D.)

Grüße
Dalai
 
Nun vielleicht bin ja ich schwer von Begriff. ???
Aber sollte nicht genau das das Feature von Wireshark sein, dass er alles mitschneidet.
Auch das was nicht für sein System bestimmt ist?
Also im Prinzip alles was in meinem W-LAN irgendwie herumschwirrt?
 
Meines Wissens nach werden auch bei WLAN die Pakete nur an das Ziel (=eine einzelne MAC-Adresse) geschickt, für das sie bestimmt sind. Wäre das nicht so, würde noch mehr Bandbreite verlorengehen, weil alle Systeme alle Pakete bekommen/sehen würden - "Netz zuballern" wäre wohl die richtige Umschreibung dafür. Stell dir ein WLAN wie einen Switch vor, und bedenke dabei den Unterschied zwischen Hub und Switch. Hubs senden alle Pakete an alle angeschlossenen Geräte, Switches senden Pakete nur an das Ziel, das in einem Paket vermerkt ist. Wireshark kann prinzipiell alles mitschneiden, aber logischerweise nur das, was auf dem System auch ankommt.

Willst du jeglichen Verkehr aufzeichnen, müsstest du Wireshark (oder eine ähnliche) Software auf dem zentralen Punkt, also AP/Router, laufen lassen. Die Fritzboxen haben IIRC eine solche Funktion.

Grüße
Dalai
 
Nun ich will ja nicht nerven, aber wenn der Router was ins W-Lan sendet, so sollten doch theoretisch
alle Stationen die im gleichen W-Lan verbunden sind die Signale empfangen können.
Oder mache ich da einen grundlegenden Überlegungsfehler?
 
Jedes Netzwerkpaket hat irgendeine Art von Header, der im Falle von Ethernet-Paketen unter anderem eine IP-Adresse und eine MAC-Adresse beinhaltet. Siehe auch z.B. dieses Schema/Tabelle bei Wikipedia. Übliche Netzwerkgeräte ignorieren alle Pakete, die nicht für sie bestimmt sind, also bei denen die Empfänger MAC-Adresse nicht mit der eigenen übereinstimmt. Ignorieren passiert hier auf OSI-Schicht 2, d.h. ein solches Paket kommt gar nicht im OS (OSI-Schicht 7) an, und damit auch nicht bei irgendeinem Paketsniffer, der auf selbigem läuft.

Theoretisch können die Funksignale von allen Teilnehmern empfangen werden, das WLAN selbst und auch das Ethernet-Protokoll (s.o.) sorgen aber dafür, dass die Pakete eben nur am bestimmten Ort ankommen bzw. dort aktiv wahrgenommen/gesehen werden. So ähnlich wie bei Briefpost, wo auch nur der Empfänger den Inhalt des Briefs sieht (von Ausnahmen mal abgesehen ;)).

Grüße
Dalai
 
Ich will nicht Klugschei**en, korrigiere mich bitte wenn ich falsch liege.
Aber meines Wissens, sollte Wireshark mindestens bis OSI Layer 2 gehen, da ich selbst die SYN/ACK Pakete auslesen kann.
Deshalb meine vieleicht so blöde Frage.
Bin ja auch nicht mehr der jüngste und deshalb vieleicht ein bischen schwer von Begriff. ;D
 
@Dalai:
WLAN ist ein shared medium (die Luft). Daher sehen alle Geräte auch alle Pakete die in die WLAN Wolke hinausgesendet werden.
Ist ein Interface dann im promiscous mode kann auch alles mitgeschnitten werden.
 
Zuletzt bearbeitet:
Was bringt einem das mitschneiden, wenn die Daten per WPA3 demnächst übertragen werden. Dürfte dann das selbe sein, wie die Verschlüsselung von TV-Festplatten ohne den einmaligen Schlüssel kann man die Rohdaten niemals auswerten auch wenn ich sie sehen kann. ;D
 
Zurück
Oben Unten