Wireshark toont geen SSH verbinding

maandag 15 januari 2024 18:16

Acties:

0 Henk 'm!

Topicstarter

Beste allen,

Ik geef vooraf alvast aan, ik ben nieuwe met Wireshark, netwerken, protocollen etc. Ik moet een huiswerk opdracht doen, maar ik kom er niet uit.

Mijn vraag:
Als ik een Wireshark capture start, en ik zet vervolgens een SSH verbinding op naar de server die ik thuis in mijn netwerk heb, dan kan ik hier helemaal niets van terug vinden. Ik log in, en browse door verschillende mappen heen. Wat doe ik hier verkeerd?

Relevante software en hardware die ik gebruik:

- Wireshark
- OpenSSH via de windows command prompt
- Putty

Wat ik al gevonden of geprobeerd heb:

Ik heb de volgende filters in Wireshark geprobeerd:

- SSH
- tcp.port == 22
- tcp.dstport == 22

Ik heb naast de command prompt ook Putty gebruikt, omdat ik dacht dat het misschien aan het protocol of iets lag.

Als ik het volgende filter gebruik dan zie ik wel dat er UDP verkeer is geweest (maar dan gaat het hele punt een beetje verloren, voor de opdracht moeten we laten zien dat er bijvoorbeeld op een netwerk apparaten gepingt zijn):

- ip.dst == "ip"

Dit verkeer komt dan ook binnen op port 41641..

Waarom wordt mijn SSH verkeer niet als SSH verkeer opgepakt door Wireshark?

maandag 15 januari 2024 18:32

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

Heb je wel de goede interface te pakken?

In principe zou je niet hoeven rond te kijken in ssh. Als je gewoon top start in je shell genereert dat keurig netjes een stroom io en dus ssh verkeer. Kun je niet lezen in wireshark, maar is natuurlijk wel.keurig zichtbaar.

Los van dat, draait wireshark op je lokale machine, toch? Niet op de server waar je ook op inlogt. Toch?
Zie je wel ander verkeer? Ik ben vrij zeker van je verkeerde interface

[ Voor 25% gewijzigd door Boudewijn op 15-01-2024 18:33 ]

i3 + moederbord + geheugen kopen?

maandag 15 januari 2024 18:33

Acties:

0 Henk 'm!

mrmrmr

Is dit onder Windows? Zie je het zonder filter wel? Of helemaal niet? In dat laatste geval kijk je misschien op het verkeerde netwerk.

Je hebt bij Wireshark capture en display filters. Als je capture filter niet goed is, zie je logischerwijze niets.

Ga er niet a priori vanuit dat alle pakketten herkend worden. SSH2 verkeer is gecrypt.

Probeer het eens door eerst de verbindingen te verbreken, en dan een nieuwe Wireshark/tcpdump te starten. En pas daarna een verbinding op te zetten. Zodoende kan Wireshark de stroom aan pakketten volgen.

Begrijp je dat de client (zoals Putty) een willekeurige hoge poort gebruikt om een verbinding op te zetten? Het gaat niet van poort 22 naar poort 22.

maandag 15 januari 2024 20:41

Acties:

0 Henk 'm!

Heaget

Topicstarter

Ik denk dat ik echt een beginners fout heb gemaakt. Zojuist ging ik het met wat andere protocollen ook proberen en dat werkte ook eigenlijk allemaal niet goed. Toen ineens bedacht ik dat ik misschien beter mijn VPN cliënt uit kon zetten. Daarna kreeg ik wel netjes het SSH verkeer te zien in Wireshark.

dinsdag 16 januari 2024 11:37

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

Heaget schreef op maandag 15 januari 2024 @ 20:41:
Ik denk dat ik echt een beginners fout heb gemaakt. Zojuist ging ik het met wat andere protocollen ook proberen en dat werkte ook eigenlijk allemaal niet goed. Toen ineens bedacht ik dat ik misschien beter mijn VPN cliënt uit kon zetten. Daarna kreeg ik wel netjes het SSH verkeer te zien in Wireshark.

offtopic:
Dan werkt je VPN best OK

Het beste is om rekening te houden waar je de capture maakt. Of lokaal op je client, of op de server, of vanaf een SPAN port op een switch.

Vraag

Alle reacties