Rss Feed
Tweeter button
Facebook button
Mrz 09

Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

MS / Windows, Protokollanalyse, Wireshark, itproblogs.de 1 Kommentar »

Enumeration von SMB-Anfragen mithilfe von Capture- und Display filters unter Wireshark

Ich hatte vor geraumer Zeit einen Blog-Eintrag geschrieben wie man seine Freigaben und Berechtigungen von einem bestehenden Fileserver (Windows 2000, 2003, 2008 und 2008 R2 Server) über einen Registry-Export sichert und auf einem anderen System wiederherstellt – soweit, so gut.

Gibt es nicht? – gibt es nicht!

Nun kann es jedoch sein, dass ein Dateiserver ausfällt, die Systemstatussicherung einen Fehler hat und die 250 Freigaben auf dem Server nicht dokumentiert sind – gibt es nicht? – gibt es nicht!

250 Freigaben von Hand setzen?

Also bleibt einem gar nichts anderes übrig, als das Hostsystem neu zu installieren (gleicher Hostname, gleiche IP-Adresse) die Daten und die zugehörigen NTFS-Berechtigungen zurückzuspielen und alle Freigaben mit Berechtigungen von Hand zu setzen! – stimmt nicht!

Es gibt eine “tolle Möglichkeit” (toll wäre ein funktionierendes Backup) über eine Netzwerkanalyse mit Wireshark genau diese Freigaben wieder zu enumerieren und halbautomatisiert mit Excel und VBA (Visual Basic for Applications) freizugeben.

Und so funktioniert’s:

  • Installation von Wireshark auf dem Fileserver
  • Capture Filter auf Port 445 (SMB) einstellen

Wireshark01-296x300 in

  • Display Filter auf “smb.cmd == 0×75″ aktivieren

Wireshark02-300x23 in

Nun erhält man alle SMB Tree Connect andx Requests und Responses. Sowohl diese die erfolgreich angefragt wurden, als auch die fehlerhaften (Anfragen von Clients an Freigaben, die aber noch nicht freigegeben sind) anfragen.

Wireshark031-300x4 in

Innerhalb des Requestes kann man nun die angefragten Shares einsehen (Path: \\NT02\IP).

Wireshark05-300x155 in

Wenn man jetzt über einen längeren Zeitraum den Netzwerkverkehr mitschneidet, erhält man eine nahezu komplette Liste über alle benötigten Freigaben. Dann müssen nur noch alle Freigaben in eine *.csv-Datei exportiert und mittels einer Excel-VBS-Kombination wieder halbautomatisch einspielt werden.

Im zweiten Teil wird mein Kollege Sascha Giebelhausen die weiteren Schritte für ein erfolgreiches “Desaster  Recovery” beschreiben.

Thomas Gronenwald

Links:
Wireshark SMB-Referenz