tom's networking guide
 
Anzeige

Netzwerk-Überwachung per Port Reporter

27. 07. 2005
Klaus Jotz
Tom's Networking Guide

Netzwerk-Überwachung per Port Reporter

Den Durchblick behalten

Immer mehr Anwendungen sind netzwerkfähig und bauen oft selbständig und unbemerkt Verbindungen ins Internet auf. Microsoft stellt mit dem "Port Reporter" ein kostenloses Tool zur Analyse der Netzwerkaktivitäten von Windows-Rechnern bereit.
.

Der Port-Reporter wacht

Der Port Reporter von Microsoft protokolliert die Aktivitäten der TCP- und UDP-Ports und listet über einen bestimmten Zeitraum die Netzwerkaktivitäten sowie die zugehörigen Anwendungen auf. Zusätzlich überwacht er das Wechseln der Netzwerkverbindungen von Host-Anwendungen, wenn diese eine neue Verbindung annehmen. Damit lässt sich herauszufinden, von welchen Anwendungen aus Netzwerkverbindungen aufgebaut oder akzeptiert werden. Zusätzlich werden die von den Anwendungen verwendeten DLLs protokolliert, den Code der auf das Netzwerk zugreift zu identifizieren.

Leider können dabei die Protokolle sehr umfangreich werden, abhängig vom Netzwerkverkehr, was die manuelle syntaktische Analyse aufwändig werden lässt. Deshalb gibt es ein weiteres kostenloses Tool von Microsoft, den Port Reporter Parser. Mit ihm lassen sich die Daten interpretieren, analysieren und in einem optimierten Format darstellen. Beide Tools sollen im folgenden Artikel näher beschreiben werden.

Auswertung

Der Port Reporter erzeugt drei unterschiedliche Protokolldateien, die zur Auswertung zur Verfügung stehen:

  • PR-INITIAL,
  • PR-PIDS und
  • PR-PORTS

Die INITIAL-Protokolldatei enthält Daten über Ports, die zum Startzeitpunkt des Tools bereits aktiv direkt adressiert werden konnten. Sie sieht aus wie eine sehr schnelle Ausgabe des Netstat-Befehls und zeigt alle Netzwerkaktivitäten. Dazu gehören den Process Identifier (ID), der Port sowie lokale und Remote-Adressen. Darüber hinaus bietet dieser Bericht nicht nur Informationen über die Host-Anwendungen sondern auch zu all ihren DLLs. Damit lassen sich relativ einfach schädliche Anwendungen wie Trojaner identifizieren.

Die Protokolldatei PORTS listet jede neue Netzwerkverbindung. Sie zeigt das Datum, den Zeitpunkt des Verbindungsaufbaus, das verwendete Protokoll (TCP oder UDP), den Port über den die Verbindung stattfand, die Quell- und Zieladresse, die Anwendung selbst und schließlich den Benutzernamen, unter dem diese Anwendung läuft. Beim öffnen des Internet Explorer (IE) geöffnet und einer Anmeldung am MSN Messenger, fügt der Port Reporter sofort Informationen darüber in das Protokoll ein. Die Protokolldatei wird im Comma-Separated Value (csv) ?Format gespeichert, was den Import der Daten in eine Excel-Tabelle zur Analyse vereinfacht. Da der Port Reporter als Dienst läuft, protokolliert er die Daten unauffällig im Hintergrund. Auf diese Weise ist es möglich, zu bestimmten Zeitpunkten und auf einem bestimmten System zu überprüfen, welche Netzwerkanwendungen über eine gewisse Zeitspanne laufen.

In der Protokolldatei Ports ist jede neu aufgebaute Netzwerkverbindung zu finden.

Das Protokoll PIDS

Die dritte Protokolldatei PIDS ist die umfangreichste von allen. Sie enthält je nach Laufzeit des Dienstes die meisten Daten. Sie zeichnet alle Programm- und Modul-Informationen über einen Prozess auf, sobald eine neue Netzwerkaktivität eingeleitet wird. Deshalb ergeben sich bei der Ausführung einer Anwendung sehr viele Daten, die sich nicht allein auf das Programm selbst beschränken, sondern auch Auskunft über die mit ihm zusätzlich ausgeführten Module geben. Diese detaillierten Informationen sind bei der Suche nach schädlichen Programmen sehr hilfreich. Damit lassen sich beispielsweise Spionageprogramme aufdecken, die sich von selbst in den Internet Explorer eingeklinkt haben. Auch bei der Suche nach einem Wurm oder einem Virus, der das Netzwerk für seine Verbreitung nutzen möchte, eignen sich die im PIDS-Protokoll enthaltenen Informationen.

Das Listing zeigt einen kleinen Ausschnitt der Details, die im PIDS-Protokoll enthalten sind.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Windows Netzwerksicherheit
Was kaum jemand weiß ? viele Anwendungen (vor allem schädliche) öffnen Ports für mögliche Netzwerkverbindungen und ohne Wissen des Anwenders. Das kostenlose Tool Portqry hilft beim Identifizieren solcher Programme. [mehr]
Netzwerksicherheit
IT-Administrator Hubert Wolf trifft es diesmal ganz unerwartet: Aus dem Drucker des Vertriebs kommen geheime Waffenpläne. Hier können Sie nicht nur lesen, wie er diesem merkwürdigen Vorfall auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
Montag in der Frühe ereilte IT-Administrator Hubert Wolf die schlechteste aller Nachrichten: Sein Netz war gehackt. Eile war geboten. Hier können Sie nicht nur lesen, wie er sich aus dieser misslichen Lage befreit, sondern sogar mitraten. [mehr]
Zyxel Zywall-IDP10
Die Abwehr von Internet-Attacken wird für Klein- und Mittelstandsbetriebe unverzichtbar. Wir haben getestet, wie weit der Schutz von Zyxels KMU-Sicherheits-Appliance ZyWall IDP 10 wirklich reicht. [mehr]
Anti-Spyware
Neben Viren und Spam quälen Ad- und Spy-Ware die Internet-Benutzer. Diese Werbe- und Ausspähprogramme befallen PCs oft im Huckepack mit beliebter Shareware. Wir haben die Wirksamkeit von vier Anti-Spyware-Tools untersucht. [mehr]
Personal Firewalls unter Windows XP
Schutz vor Viren und Würmern ist heutzutage wichtiger denn je. Das Service Pack 2 für Windows XP verbessert dafür die Systemsicherheit. Doch kann sich die neue Microsoft-Firewall gegen Produkte von der Konkurrenz durchsetzen? [mehr]
Client-basierte Spam-Filter
Unerwünschte Emails mit dubiosen Versprechungen stören im Arbeitsalltag. Besonders für kleinere Büros eignen sich dafür Client-basierte Spam-Filter. Wir haben vier dieser Lösungen unter die Lupe genommen. [mehr]
Anzeige