filesharing in lan aufspüren

[Nemesis]

hi,
ist es möglich in einem lan festzustellen ob ein pc filesharing betreibt?
ich habe schon versucht mit "nmap -vA $ip" den pc zu scannen, aber da zeigt er nur:

Discovered open port 135/tcp 
Discovered open port 139/tcp 
Discovered open port 445/tcp

135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows XP microsoft-ds
Service Info: OS: Windows

heisst das nun, da is kein emule, kazaa, limewire oder ähnliches am werk, oder kann man das so garnicht feststellen?

thx

 

[StyleWarZ]

Hmm, vieleicht mit Ethereal Packete sammeln und nach Emule spezifischen Sachen suchen.

 

[damager]

deine nmap-ausgabe zeigt nur ne üblcihe offene windows-dose

versuche es doch mal mit:

nmap -sT -O -p 4662,4672 -PI -PT 192.168.1.0/25

wobei du den netzbereich 192.168.1.0/25 auf deinen anpassen solltest.

die ausgabe sollte ungefähr so aussehen:

Interesting ports on 192.168.1.2:
PORT STATE SERVICE
4662/tcp open unknown
4672/tcp closed rfa

man beachte eben das open

 

[codc]

Mit Snort kannst du das ganze Netzwerk ständig beobachten und Filesharing aufspüren.

 

[Nemesis]

hm,

PORT     STATE  SERVICE
4662/tcp closed unknown
4672/tcp closed rfa

und

4662/tcp open   unknown
4672/tcp closed rfa

das würde ja bedeuten, dass der eine filesharing betreibt und der andere nicht?

der netzbereich 192.168.0.1/25 durchsucht von 192.168.0.1 bis 192.168.0.255 ?

thx

 

[damager]

1. ja
2. ja aber nur bis .254. .0 und .255 sind broadcast

 

[Bâshgob]

Man kann ja über ntop[1] sagen was man will: bequemer gehts nicht.

HTH

[1] http://www.ntop.org/download.html

 

[damager]

@Bâshgob:
ich stimme dir da voll zu. wenn man nen rechner hat an dem der ganze verkehr im lan vorbei geht und dieser auch ständig an ist ... da kriegt man auch sowas mit...und vieles mehr.

 

[Bâshgob]

Aber Hallo

 

[damager]

@Bâshgob: hast mich auf die idee gebracht.
werde versuchen mal ntop auf meinem nslu2 zum laufen zu bekommen

 

[Nemesis]

hm, in nem netz mit hubs und switches wird das nicht viel bringen oder? ein switch sendet den traffic ja nur an die adresse für die er bestimmt ist?

 

[Bâshgob]

Hier gehts trotz switch. Einfach mal antesten.

 

[Zico]

2. ja aber nur bis .254. .0 und .255 sind broadcast

OT: Hm vllt lieg ich mal wieder ganz falsch, aber wäre die .0 nicht die NetID und nur .255 der BC?

 

[codc]

OT: Hm vllt lieg ich mal wieder ganz falsch, aber wäre die .0 nicht die NetID und nur .255 der BC?

in einem /24er Netz ist .0 die Netzwerk- und .255 die Broadcast-Adresse

 

[Zico]

Gut, sonst hätt eich nun an mir selbst gezweifelt und all meiene Subnetting Tabellen der letzten Monate wieder neu schreiben müssen

 

[damager]

jup, so is dat

 

[slasher]

wenn du ntop testest, teste es aber nicht sofort in einem Netzwerk, dass mehrere hundert mbit durch die Gegend schiebt.