Hoe traceert men de bron wie een Wake-on-LAN packet stuurt in het lokaal netwerk?

[G33RT]

Iemand op mijn lokaal netwerk stuurt een Wake-on-LAN magic packet naar een Windows-10 PC en start deze computer midden in de nacht.
Via het commando "powercfg /devicequery wake_armed" weten we welke hardware de PC kan opstarten, en met "powercfg /lastwake" hebben wij gezien dat de PC via Wake-on-LAN werd opgestart.

Is hier iemand die mij kan helpen om de bron te vinden op mijn local netwerk die het Wake-on-LAN magic packet verstuurt heeft ?
Kan dit misschien met Wireshark die bijvb. 24/24 de betreffende IP van de PC te laten monitoren.

Ik heb een sterk vermoeden dat iemand op een van mijn SBC's remote toegang heeft.

Alle informatie is welkom !

[honda4life]

Wireshark laten lopen en nadien filteren lijkt me inderdaad de enige oplossing.

[CCatalyst]

Kan dit misschien met Wireshark die bijvb. 24/24 de betreffende IP van de PC te laten monitoren.

Je moet het MAC-adres monitoren in Wireshark. WoL is Layer 2, niet Layer 3.

Verder zal je de pakketten ook moeten capteren op het pad tussen de bron en de PC. Afh van de opbouw van uw netwerk is bij een onbekende bron de enige garantie daartoe wellicht capteren aan de upstream switch van de PC met bijvoorbeeld SPAN. Of met een transparante tap tussen de PC en de switch.

Noot dat je dan enkel komt de weten van welk toestel het magic packet komt, maar nog niet wie het daarop gestuurd heeft.

[G33RT]

Wireshark laten lopen en nadien filteren lijkt me inderdaad de enige oplossing.

Dacht het al, enkel is Wireshark iets waar ik mij moet in verdiepen.
Snap er de bal van

Kan dit misschien met Wireshark die bijvb. 24/24 de betreffende IP van de PC te laten monitoren.

Je moet het MAC-adres monitoren in Wireshark. WoL is Layer 2, niet Layer 3.

Verder zal je de pakketten ook moeten capteren op het pad tussen de bron en de PC. Afh van de opbouw van uw netwerk is bij een onbekende bron de enige garantie daartoe wellicht capteren aan de upstream switch van de PC met bijvoorbeeld SPAN. Of met een transparante tap tussen de PC en de switch.

Noot dat je dan enkel komt de weten van welk toestel het magic packet komt, maar nog niet wie het daarop gestuurd heeft.

Dit is allemaal een beetje Chinees voor mij, capteren, SPAN, Layer 2
Ik hoop dat de leercurve van Wireshark niet te hoog zal zijn.

Heb je misschien wat voorbeelden voor mij hoe ik er aan begin?

Toegevoegd na 1 uur 42 minuten 50 seconden:
Na wat zoeken heb ik dit gevonden: https://wiki.wireshark.org/WakeOnLAN

filter opties zouden dan zijn: wol

Kan ik niet beter filteren op WOL protocol zodat ik kan zien als er een Wake-on-LAN word verstuurd naar eender welk apparaat op het netwerk, wat is jullie mening hierover ?

[CCatalyst]

Kan ik niet beter filteren op WOL protocol zodat ik kan zien als er een Wake-on-LAN word verstuurd naar eender welk apparaat op het netwerk, wat is jullie mening hierover ?

Ja, dat kan. Maar hou er dus rekening mee dat je niet noodzakelijk alle WoL "naar eender welk apparaat op het netwerk" zal zien. Je zal de WoL pakketten zien die passeren op het punt waar Wireshark inzage heeft. Gezien WoL (Magic Packet) in de regel op broadcast verzonden wordt betekent dat dat je minstens in hetzelfde domein moet zitten. Als het een eenvoudig thuisnetwerk betreft zonder router tussen Wireshark en de PC, dan zal dat wel het geval zijn.

[G33RT]

Kan ik niet beter filteren op WOL protocol zodat ik kan zien als er een Wake-on-LAN word verstuurd naar eender welk apparaat op het netwerk, wat is jullie mening hierover ?

Ja, dat kan. Maar hou er dus rekening mee dat je niet noodzakelijk alle WoL "naar eender welk apparaat op het netwerk" zal zien. Je zal de WoL pakketten zien die passeren op het punt waar Wireshark inzage heeft. Gezien WoL (Magic Packet) in de regel op broadcast verzonden wordt betekent dat dat je minstens in hetzelfde domein moet zitten. Als het een eenvoudig thuisnetwerk betreft zonder router tussen Wireshark en de PC, dan zal dat wel het geval zijn.

Ja het is een gewoon thuisnetwerk.
Dus als ik de broadcast adres in de gaten hou 192.168.1.255 dan zou ik het WoL moeten zien passeren of heb ik het mis ?

[silentkiller]

Zie post op deze site en ook op wikipedia:

Code: Selecteer alles

The magic packet is a frame that is most often sent as a broadcast and that contains anywhere within its payload 6 bytes of all 255 (FF FF FF FF FF FF in hexadecimal), followed by sixteen repetitions of the target computer's 48-bit MAC address, for a total of 102 bytes.

Since the magic packet is only scanned for the string above, and not actually parsed by a full protocol stack, it could be sent as payload of any network- and transport-layer protocol, although it is typically sent as a UDP datagram to port 0 (reserved port number), 7 (Echo Protocol) or 9 (Discard Protocol), or directly over Ethernet as EtherType 0x0842. A connection-oriented transport-layer protocol like TCP is less suited for this task as it requires establishing an active connection before sending user data.

Maw, een WOL pakket kan op allerlei verschillende manieren verzonden worden. TCP/UDP (poort 7/9/0) of direct over Ethernet met type 0x0842.

Om er zeker van te zijn dat je alles mee hebt, zet je best in Wireshark een capture filter op destination MAC FF:FF:FF:FF:FF:FF. Daarna zou ik met een display filter filteren op 'WOL'. Alleen dan ga je alles meehebben. Nadeel is dat je wel wat verkeer gaat capturen.

Als het om een windows machine gaat, WOL sniffer lijkt bij mij alle paketten eruit te kunnen halen.

[CCatalyst]

Dus als ik de broadcast adres in de gaten hou 192.168.1.255 dan zou ik het WoL moeten zien passeren of heb ik het mis ?

Nee, zoals ik zei, WoL is Layer 2, wat betekent dat we MAC adressen gebruiken. Een IP adres als 192.168.1.255 is geen Layer 2 maar Layer 3. De filter is dus: eth.dst==ff:ff:ff:ff:ff:ff zoals in de post hierboven al aangehaald.

Let op dat er nog veel meer dan enkel WoL zichtbaar zal zijn daarop - je zal onder meer veel ARP pakketten zien passeren - maar de WoL zou er bij moeten zitten tenzij men een speciale implementatie gebruikt (zeldzaam).