[Blue Force]

Ich habe ein Programm das folgende Netzwerkzugriffe macht:
[Bild: Network.jpg]
Kann man daran ablesen ob sich das Programm irgendwo ins Internet verbindet?
192.168.178.24 ist die Adresse meiner Fritzbox.

[Lookbehind]

Kann ich nicht mit absoluter Sicherheit sagen, da ich nicht weiß, was da für Verbindungen aufgelistet werden.
Ich kann dir sagen, dass keine der IP-Adressen im Internet liegt. Allerdings ist nicht klar, ob wir wirklich die das endgültige Ziel sehen, oder nur den nächsten Hop.
Für letzteres spricht die Port-Auswahl zu und von deiner FritzBox (192.168.178.24). Es ist üblich, dass solche High-Ports für NAT verwendet werden. Beweisen tut das aber nix. Dazu müsste man wissen, wie du diese Informationen gewonnen hast.

[Blue Force]

Ich habe das mit einem Programm Windows 10 Firewall Control protokolliert, damit kann man den Windows Firewall bequemer kontrollieren. Das Programm was ich überwachen will (ANSYS, ein CAD Programm) hat lokal einen Server laufen mit dem es kommuniziert, daher könnten die ganzen 127.0.0.1 kommen.
Habe gerade gelesen man kann mit
http://fritz.box/html/capture.html
den Verkehr direkt von der Fritzbox mitschneiden lassen. Mal sehen was da so raus geht, ggf melde ich mich dann nochmal.

[Nobbi Habogs]

Ich selbst benutze NetLimiter, ohne Lizenz funktioniert soweit ich weiß nur das Monitoring. Aber ist sehr detailliert und meines Erachtens auch ziemlich mächtig.

Spoiler:(zum lesen bitte Text markieren)

[Bild: dsadas32kax.jpg]

Man sieht im übrigen auch deutlich, dass einige Verbindungen nur sehr kurz benutzt werden. Durch einmaliges nachgucken der Verbindungen hast du also gar keine Gewissheit. Auch das blocken bestimmte Dienste bringt nichts, da dann entweder einfach neue Verbindungen erstellt werden oder neue Prozesse gestartet werden die neue Verbindungen herstellen. Um Windows Update lahmzulegen, muss man also den ganzen PC blocken, was aber auch funktioniert. Teilweise umgeht Windows die Blockade trotzdem, dann kann man aber auch die Bandbreite auf 1Bit/s beschränken, dann geht nix mehr.
Das mit dem Windows Update war jetzt nur ein Beispiel, aber das kann ja in der Tat schon mal nerven.

[Homerclon]

Auch das blocken bestimmte Dienste bringt nichts, da dann entweder einfach neue Verbindungen erstellt werden oder neue Prozesse gestartet werden die neue Verbindungen herstellen. Um Windows Update lahmzulegen, muss man also den ganzen PC blocken, was aber auch funktioniert. Teilweise umgeht Windows die Blockade trotzdem, dann kann man aber auch die Bandbreite auf 1Bit/s beschränken, dann geht nix mehr.

Windows findet sicherlich ein Weg an der eigenen Firewall vorbei, ebenso Malware die von jemanden programmiert wurde der sein Handwerk versteht (wobei die Windows-Firewall normalerweise nur eingehenden Verkehr prüft). Aber nicht jedes Tool agiert so hinterhältig. Mit aktivem Windows Firewall Control würde es nichts bringen einfach ein neuen Prozess zu starten und damit aufs Internet zugreifen zu wollen. Denn dann würde der Nutzer gefragt werden (falls so eingestellt) ob dieser neue Prozess Zugriff aufs Internet haben darf.
Es müsste schon ein Prozess ausgewählt werden, der bereits Internetzugriff hat.

[foobar]

Man muss nicht zwingend neue Prozesse starten. Wenn es nur um das Übermitteln von kurzen Daten geht, kann man die auch bspw. durch DNS tunneln.

Nehmen wir an, mein böses Programm hat dein Login (sagen wir mal: Username = otto, Passwort = geheim) abgegriffen und will das nun an mich übertragen. Eine Möglichkeit: Es fragt z.B. einfach nach der IP-Adresse von otto.geheim.meinedomain.tld. Die Namensauflösung läuft dann nach dem üblichen Schema ab. Der Resolver fragt einen der Rootserver: Wer ist für tld zuständig? Dieser Server wird dann gefragt: Hey, wer ist zuständig für meinedomain.tld? Und der wiederum wird gefragt: Wer ist für geheim zuständig? Und den wiederum: Wie lautet die Adresse von Host otto? Aber alles unterhalb vom meinedomain.tld kontrolliere ich (ist ja meine Domain, also auch mein DNS-Server), daher kann ich die Anfrage mitloggen, irgendeine nutzlose Antwort geben und habe nun deine Zugangsdaten.

Da mein böses Programm dazu kein eigenes Netz-Socket aufbaut, sondern den Resolver des Betriebssystems nutzt, taucht dieser Verkehr auch nicht in den Logs auf, wenn ich nur diesen einen Prozess überwache oder blockiere.