Merkwürdiger Datenverkehr auf Wireshark?
Guten Abend liebe IT-Fachleute und Frauen natürlich,
Ich habe heute über Wireshark mehrere Stunden meinen eigenen Network traffic aufgezeichnet, um ihn daraufhin zu analysieren. Bei der Analyse sind mir Merkwürdige Aktivitäten aufgefallen.
Zumal erhalte und sende ich Merkwürdige TCP zu einer mir unbekannten IP-Adresse, die TCP Pakete bestehen oft aus ACK-Flags, zudem finden sich aber auch einschlägige Reset Flags die daraufhin die Kommunikation mit Fin Flags schließen, was mich besonders misstrauisch gemacht hat das diese Paket mit "Payload Length" angegeben werden. Nach den Fin-Flags startet ein neuer Handshake der daraufhin über einen verschlüsselte TLSv1.3 Paket kommuniziert, auf diesen erhöhen sich die "Payload Length" drastisch auf 1140 bytes.
Kann mir jemand erklären ob es sich um Malware handelt? Ich habe die IP Adresse zurück verfolgt, sie befindet sich in Frankfurt Am Main, nun wird es ebenfalls interessant. Es handelt sich um die Organisation "AS15169 Google LLC" ist das ein Trojaner von Googel?
.
2 Antworten
Zumal erhalte und sende ich Merkwürdige TCP zu einer mir unbekannten IP-Adresse,
Es wäre schon interessant, welche das ist. Ich möchte mal behaupten, dass Du nicht jede IP-Adresse kennst, mit der Dein Rechner kommuniziert. Wenn Du eine Webseite aufrufst, kommunizierst Du ggf. schon mit mehreren Servern und damit auch mehreren IP-Adressen. Das Betriebssystem selbst kommuniziert z. B. mit dem Update-Server, bei Windows hat man auch viel, was man heutzutage schmeichelhaft mit Telemetrie umschreibt. Auch Anwendungsprogramme kommunizieren mit dem Hersteller und ggf. mit anderen.
die TCP Pakete bestehen oft aus ACK-Flags,
Natürlich. Das ist eine Eigenschaft von TCP.
zudem finden sich aber auch einschlägige Reset Flags die daraufhin die Kommunikation mit Fin Flags schließen,
Bist Du sicher? Ein RST wird bei Fehlern geschickt, die Verbindung ist damit sofort beendet. Da kommt kein FIN mehr. FIN-Flags findet man nur bei einem geordneten Verbindungsabbau, nicht aber bei einem Verbindungsabbruch mit RST.
was mich besonders misstrauisch gemacht hat das diese Paket mit "Payload Length" angegeben werden.
Wer oder was gibt "Payload Length" an?
auf diesen erhöhen sich die "Payload Length" drastisch auf 1140 bytes.
1140 Byte Payload ist nun nicht gerade drastisch. TCP-, IP- und Ethernet-Header bringen 20+20+18=58 Byte. Insgesamt kommst Du also auf 1198 Byte, was deutlich unter den 1500 oder 1492 (bei PPPoE) Byte MTU liegt.
Kann mir jemand erklären ob es sich um Malware handelt?
Nicht, ohne die Kommunikation im Original zu sehen. Aber aus dem Bauch heraus sehe ich nichts Verdächtiges.
Ich habe die IP Adresse zurück verfolgt, sie befindet sich in Frankfurt Am Main, nun wird es ebenfalls interessant. Es handelt sich um die Organisation " AS15169 Google LLC" ist das ein Trojaner von Googel?
Ich finde da nichts bemerkenswert. Google selbst bietet Dienste an (nutzt Du vielleicht Chrome als Browser?). Zudem bietet Google auch Cloud-Dienste an, die man als Kunde kaufen kann. Kommunikation mit Google ist erst mal absolut unverdächtig.
mir ist jedoch genau diese IP merkwürdig erschienen.
Generell ist jede IP-Adresse erst mal unverdächtig. Es gibt bei IP-Adressen kein objektives Kriterium, was sie als merkwürdig erscheinen lassen könnte.
ich habe immer gedacht dafür benötigt man meine Einverständnis,
Ein Einverständnis wird nur bei der Übermittllung von personenbezogenen Daten benötigt. Die Abfrage des Update-Servers z. B. ist da eher unkritisch. Aber in der Regel nickst Du bei der Installation auch irgendwelche Bedingungen und Erklärungen ab.
Die "Payload Length" steht unter der Kategorie Internet Protocoll Version, für gewöhnlich kenne ich es bisher nur das dort die länger des Headers angezeigt wird.
Ja, das Feld Payload Length gibt es im IPv4-Header nicht, aber im IPv6-Header. Im IPv4-Header gibt es Header Length und Total Length. Der IPv6-Header ist immer 40 Byte lang, deshalb muss die Länge nicht angegeben werden.
Das Feld Payload Length wird in Byte angegeben und beinhaltet Layer 4 (also UDP bzw. TCP) und höher.
Nein, ich verwende Firefox. Ich füge ein Bild der Frage hinzu, möglicherweise kann das mehr Licht und dunkle bringen.
Tipp: Man kann aus Wireshark auch Text exportieren.
Der Google-Server hat den Namen fra07s29-in-x200a.1e100.net und steht vermutlich in Frankfurt (fra am Beginn des Namens). Das kann alles mögliche sein, aber verdächtig ist da nichts.
Schau Dir mal den TLS-Verbindungsaufbau an. Im Client Hello gibt es ein Feld "Extension: Server_Name:". Dort steht der aufgerufene Hostname drin. Vielleicht gibt der Aufschluss.
Google ist ein riesiger Dienstleister, der alles mögliche hostet. Viele Programme verbinden sich dort hin. Interessanter wäre, welches Programm zu welchem Host. Wenn z.B. svchost nach download.windowsupdate.com verbindet, dürfte der Zweck klar sein. Bei mir ist generell alles per FW geblockt und explizite Ausnahmen sind eingerichtet.
Vielen Dank für deine gute und Ausführliche Antwort. Vorerst, natürlich kenne ich nicht alle IP- Adressen auswendig mit denen mein Computer kommuniziert, mir ist jedoch genau diese IP merkwürdig erschienen. Danke das sind wichtige Informationen, ich wusste beispielsweise noch nicht das Anwendungen jederzeit mit Ihren Herstellern kommunizieren können, ich habe immer gedacht dafür benötigt man meine Einverständnis, aber das klingt auch logisch, werden so beispielsweise auch abfragen für Updates durchgeführt?
Die "Payload Length" steht unter der Kategorie Internet Protocoll Version, für gewöhnlich kenne ich es bisher nur das dort die länger des Headers angezeigt wird.
Nein, ich verwende Firefox. Ich füge ein Bild der Frage hinzu, möglicherweise kann das mehr Licht und dunkle bringen.