Rss Feed
Tweeter button
Facebook button
Mrz 09

Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

MS / Windows, Protokollanalyse, Wireshark, itproblogs.de Kommentar hinzufügen

Enumeration von SMB-Anfragen mithilfe von Capture- und Display filters unter Wireshark

Ich hatte vor geraumer Zeit einen Blog-Eintrag geschrieben wie man seine Freigaben und Berechtigungen von einem bestehenden Fileserver (Windows 2000, 2003, 2008 und 2008 R2 Server) über einen Registry-Export sichert und auf einem anderen System wiederherstellt – soweit, so gut.

Gibt es nicht? – gibt es nicht!

Nun kann es jedoch sein, dass ein Dateiserver ausfällt, die Systemstatussicherung einen Fehler hat und die 250 Freigaben auf dem Server nicht dokumentiert sind – gibt es nicht? – gibt es nicht!

250 Freigaben von Hand setzen?

Also bleibt einem gar nichts anderes übrig, als das Hostsystem neu zu installieren (gleicher Hostname, gleiche IP-Adresse) die Daten und die zugehörigen NTFS-Berechtigungen zurückzuspielen und alle Freigaben mit Berechtigungen von Hand zu setzen! – stimmt nicht!

Es gibt eine “tolle Möglichkeit” (toll wäre ein funktionierendes Backup) über eine Netzwerkanalyse mit Wireshark genau diese Freigaben wieder zu enumerieren und halbautomatisiert mit Excel und VBA (Visual Basic for Applications) freizugeben.

Und so funktioniert’s:

  • Installation von Wireshark auf dem Fileserver
  • Capture Filter auf Port 445 (SMB) einstellen

Wireshark01-296x300 in Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

  • Display Filter auf “smb.cmd == 0×75″ aktivieren

Wireshark02-300x23 in Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

Nun erhält man alle SMB Tree Connect andx Requests und Responses. Sowohl diese die erfolgreich angefragt wurden, als auch die fehlerhaften (Anfragen von Clients an Freigaben, die aber noch nicht freigegeben sind) anfragen.

Wireshark031-300x4 in Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

Innerhalb des Requestes kann man nun die angefragten Shares einsehen (Path: \\NT02\IP).

Wireshark05-300x155 in Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1

Wenn man jetzt über einen längeren Zeitraum den Netzwerkverkehr mitschneidet, erhält man eine nahezu komplette Liste über alle benötigten Freigaben. Dann müssen nur noch alle Freigaben in eine *.csv-Datei exportiert und mittels einer Excel-VBS-Kombination wieder halbautomatisch einspielt werden.

Im zweiten Teil wird mein Kollege Sascha Giebelhausen die weiteren Schritte für ein erfolgreiches “Desaster  Recovery” beschreiben.

Thomas Gronenwald

Links:
Wireshark SMB-Referenz

Eine Antwort zu “Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1”

  1. Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 2 - IT-Professional Blog - Port 389 sagt:
    11. März 2010 um 16:45

    [...] Disaster Recovery: Letzte Ausfahrt Wireshark? Teil 1 Mrz [...]

Einen Kommentar schreiben