Zum Inhalt springen

Geswichtes Netzwerk sniffen?


given_to_fly

Empfohlene Beiträge

Guten Morgen

Ein Switch stellt eine Point to Point Verbindung zwischen Rechnern her, die mit einnander

kommunizieren wollen. Also man bekommt nur die Daten die einem zustehen, ähnlich der Verbindung deines Einwahlrechners mit dem Provider.

War das einfach genug? :-)

mfg

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von d.r.eam

Guten Morgen

Ein Switch stellt eine Point to Point Verbindung zwischen Rechnern her, die mit einnander

kommunizieren wollen. Also man bekommt nur die Daten die einem zustehen, ähnlich der Verbindung deines Einwahlrechners mit dem Provider.

War das einfach genug? :-)

mfg

Also heisst das das ich doch Sniffen kann...

Aber nur die Verbindung zwischen mir und den Rechner mit den ich kommuniziere richtig??

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Hexdump

Also heisst das das ich doch Sniffen kann...

Aber nur die Verbindung zwischen mir und den Rechner mit den ich kommuniziere richtig??

Die klare Antwort lautet "Jain" ;). Wenn Du keinen Zugriff auf den Switch hast, kannst Du nur Verkehr zwischen Dir und den Rechnern sniffen die mit Dir kommunizieren (und ein bisschen Broad- und gegebenenfalls Multicast-Traffic).

Wenn der Switch es zulaesst und Du auf diesen Zugriff hast, kannst Du einen speziellen Port am Switch so konfigurieren, dass saemtlicher Verkehr der ueber den Switch geht auch auf diesem Port sichtbar ist. Allerdings bieten nicht alle Switches diese Moeglichkeit (ein Cisco Catalyst kann das beispielsweise).

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es stimmt schon, dass du normalerweise nur verkehr der an dich, Multicast oder Broadcast ist sniffen kannst. Es gibt jedoch möglichkeiten auch in geswitchten Umgebungen den gesammten Verkehr mit zu schneiden. Erstens könntest du einen Mirrorport auf dem Switch einrichten, der den gesammten verkehr spiegelt.

Es gibt jedoch noch zwei weitere Techniken (Angriffe).

1. Mac - flooding

Bei diesem Angriff wird der Mac zu IP Table mit sinnlosen Mac einträgen geflutet. Einige Switches schalten dann auf durchzug und senden alle Pakete auf allen Ports (werden zum HUB).

Dieser Angriff kann aber auch schnell in die Hose gehe, da manche Switches auch hängen bleiben. Außerdem ist diese Technik sehr auffällig (Traffic, Switch auslastung).

Tool:

Die Dsniff Tools ermöglichen diesen Angriff. Macof läuft jedoch nur auf Unix basierenden Betriebssystemen.

http://www.monkey.org/~dugsong/dsniff/

2. ICMP-Redirect (Local Router)

Bei dieser Technik wird der gesamte Traffic im Netzwerk nicht mehr über den Switch sondern über dich geleitet. Du wirst also zum Switch. Die besten Tools die ich für diese ARP-Spoofing oder ICMP-Redirect Technik kenne sind Ettercap und Hunt.

Ettercap

http://ettercap.sourceforge.net/download

Hunt

http://www.mirrors.wiretapped.net/security/packet-capture/hunt/

Diese Technik funktioniert sehr gut. Ich setze sie oft für eine schelle Netzwerkanalyse ein, da du mit ettercap auch geziehlt den Verkehr zwischen mehreren Host umleiten kannst.

Ciao

Link zu diesem Kommentar
Auf anderen Seiten teilen

du kannst ein geswitchtes netzwerk ruhig sniffen, aber nur alle pakete lesen, die auch nur über physikalische verbindungen zu dir kommen. ein layer 3 switch stellt nur alle pakete dir zu, die auch deiner macadresse zugehörig sind. ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig. es teilt der anderen system mit das du du mit der ip xxx.xxx.xxx.xxx die mac adress blabla hast. wenn das andere system dir ein paket zurueck schickt, dann hat es die im haeder nun deine mac adresse, und der switch kann nun dieses auch richtig routen, und zwar explizit nur an dich.

das erste paket aber, geht nun aus allen port heraus und der rechner mit der richtigen ip nimmt es an, trägt deine mac adresse mit deiner ip in die arp tabelle und schickt ein paket mit der gleichen funktion zurück, um dir dann wieder seine mac adresse mitzuteilen. erst jetzt kann man richtig sicher sein, dass alle ip pakete an nur den richtigen rechner gehen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von cesm

ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig. es teilt der anderen system mit das du du mit der ip xxx.xxx.xxx.xxx die mac adress blabla hast.

Das Address Resolution Protocol (ARP), welches eine bekannte IP zu einer unbekannten MAC-Adresse zuordnet, liegt im OSI-Modell auf Schicht 3.

Schicht 5 ist fuer die Sitzungssteuerung.;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von cesm

ich rede vom layer5, weil der nunmal für den verbindungs auf- und abbau zuständig ist.

Sorry, aber ich denke, das ist Mumpitz. Was auf Layer 5 abgeht, davon bekommt ein Switch gar nichts mit, und er funktioniert auch ohne Layer 5-Protokolle. Wenn Du da andere Informationen hast, dann solltest Du ein wenig deutlicher werden.
Link zu diesem Kommentar
Auf anderen Seiten teilen

könnt ihr nicht lesen, ich mein es ist wirklich *******e geschrieben, ich hatte nicht viel zeit, aber wo sag ich denn was davon das ein switch layer5 versteht??? ein system was layer5 versteht ist eine firewall mit stateful inspections....

klotz: hast du überhaupt meinen text gelesen??? ich sprach über ein paket welches auf einem rechner für das arp auskunft über die mac adresse und ip gibt, und das dies ein paket ist was vor jeder layer5 kommunikation erst einmal jedes der beiden systeme ausgehändigt wird.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von cesm

[b

klotz: hast du überhaupt meinen text gelesen??? ich sprach über ein paket welches auf einem rechner für das arp auskunft über die mac adresse und ip gibt, und das dies ein paket ist was vor jeder layer5 kommunikation erst einmal jedes der beiden systeme ausgehändigt wird.

Ein Layer-3 Switch arbeitet auf Layer-3 (wie der Name schon sagt), mit Layer-5 hat das absolut nichts zu tun. Ein Layer-3 Switch verwendet ueblicherweise die IP-Adressen fuer die Switching-Enscheidung, nicht die MAC-Adressen (das waere ein Layer-2 Switch). Im Gegensatz zu einem Router ist das Switching in Hardware - beispielsweise einem ASIC - implementiert. Weitere Informationen findest Du beispielsweise hier: http://www.cisco.com/warp/public/cc/so/neso/lnso/cpso/l3c85_wp.htm

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

is mir zu doof... kannst wohl auch net lesen...

Doch, klar kann ich lesen. Aber wie waers, wenn Du uns einfach erklaerst, was Du meinst bzw. was ein Layer-3 Switch mit Layer-5 zu tun hat. Es gibt hier sicherlich einige Leute, die das interessiert (und die auch gerne was dazu lernen).

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

nic: sorry für die vorrige von mir editierte doofe antwort. aber ich habe nun schon mehrmals gesagt, dass das switching damit nichts zu tun hat. ich wollte nur nochmal sagen, dass bevor z.B. eine TCP Verbindung (Handshake--->Layer5 verbindungsaufbau etc.) zustande kommt, immer erst ein austausch durch arp stattfindet (rfc 826 zum nachschlagen), sofern dies auf dem system vorhanden ist.

NOCHMAL LAYER 5 hat absolut garnichts mit einem standard switch zu tun. mir sind keine switchs bekannt, die tiefer als layer3 gehen, und diese bennene ich dann auch lieber als router(egal ob hardware oder software).

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von cesm

aber wo verdammt nochmal schreibe ich, dass der switch etwas mit layer 5 zu tun hat

Hier:

ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig

Hier habe ich herausgelesen, dass Du meinst, dass keine Adressauflösung und kein Switching zustande kommt, bevor nicht irgendeine Kommunikation auf Layer 5 stattfindet.

Kann sein, dass das ein Mißverständnis war. Darum habe ich Dich gebeten, deutlicher zu werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von daking

1. Mac - flooding

Bei diesem Angriff wird der Mac zu IP Table mit sinnlosen Mac einträgen geflutet. Einige Switches schalten dann auf durchzug und senden alle Pakete auf allen Ports (werden zum HUB).

Dieser Angriff kann aber auch schnell in die Hose gehe, da manche Switches auch hängen bleiben. Außerdem ist diese Technik sehr auffällig (Traffic, Switch auslastung).

Tool:

Die Dsniff Tools ermöglichen diesen Angriff. Macof läuft jedoch nur auf Unix basierenden Betriebssystemen.

http://www.monkey.org/~dugsong/dsniff/

Hmm ist das nicht ein Linux file? *.tar.gz

Gibts das Tool auch für WIN Systeme?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Klotzkopp

Hier habe ich herausgelesen, dass Du meinst, dass keine Adressauflösung und kein Switching zustande kommt, bevor nicht irgendeine Kommunikation auf Layer 5 stattfindet.

Das hatte ich auch so verstanden, allerdings ist eine Kommunikation ueber Layer-5 nicht Voraussetzung.

Prinzipiell gibt es zwei Moeglichkeiten beim Layer-3 Switching: Packet-By-Packet und Flow-Based. Im ersten Fall wird jedes einzelne Paket auf Layer-3 (IP-Layer) ausgewertet und geswitched (bzw. gerouted, da ein Packet-by-Packet Switching eigentlich nichts anderes als ein Routing in Hardware ist), im zweiten Fall wird nur das erste Pakete eines Flows auf Layer-3 ausgewertet und zum Ziel geroutet, alle weiteren Pakete die zum selben Flow gehoeren werden auf Layer-2 geswitched. L3-Switches haben den Vorteil, dass sie interoperable mit den im Netz vorhandenen Routern sind (beispielsweise werten sie Routing-Informationen aus).

Es gibt uebrigens auch Layer-4 Switches, die nicht nur MAC und/oder IP-Adresse verwenden, sondern auf Protokoll-Basis (HTTP, FTP, etc) switchen koennen. Einsetzen laesst sich sowas im Bereich CDN/Content Management da sich mit L4-Switches sehr gut Load-Balancing und Request-Rerouting Funktionen implementieren lassen. Entsprechende Produkte werden beispielsweise von verschiedenen Herstellern angeboten.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

jo es war ein missverständnis.

ich hab mal eben gegoogelt und es gibt sogar layer5-7 switchs, denn sinn darin wollte ich aber erst garnicht entnehmen.

zu deinem layer4 switch: es ist ja schön, dass diese soetwas routen können. nur fehlt mir irgendwie der bezug, kannst du das eventuell auch mal genauer erklären? wann findet denn eine anfrage auf einen service ohne ip adresse statt? von broadcasts mal abgesehen, denn diese kann man wohl kaum auf ftp und http anwenden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von cesm

jo es war ein missverständnis.

ich hab mal eben gegoogelt und es gibt sogar layer5-7 switchs, denn sinn darin wollte ich aber erst garnicht entnehmen.

zu deinem layer4 switch: es ist ja schön, dass diese soetwas routen können. nur fehlt mir irgendwie der bezug, kannst du das eventuell auch mal genauer erklären? wann findet denn eine anfrage auf einen service ohne ip adresse statt? von broadcasts mal abgesehen, denn diese kann man wohl kaum auf ftp und http anwenden.

Mit Broadcasts hat das nichts mehr zu tun. Ein Layer-4 Switch arbeitet auf Protokollebene (beispielsweise http oder ftp). Beispiel: *** stellt den neuen Internet Explorer 7.0 ins Netz, ein einzelner Server ist dem Ansturm ueblicherweise nicht gewachsen. Greift ein Benutzer auf den entsprechenden URL zu, so werden Layer-4 Switches eingesetzt, die den Zugriff auf einen Cache umleiten, der diese Datei ebenfalls zur Verfuegung stellt. Das ganze ist dabei voellig transparent fuer den Endbenutzer. Erkennen laesst sich dieser Vorgang unter Umstaenden ebenfalls, wenn man beispielsweise auf http://www.microsoft.de/xxx zugreift und der Download anzeigt, dass die Datei ueber "http://akamai45.provider.de/xxx" (Akamai betreibt globale CDNs) bezogen wird. In diesem Fall ist eine Rerouting des http-request erfolgt.

Hauptproblem ist momentan, dass viele der eingesetzten Mechanismen proprietäre Lösungen sind. Aus diesem Grund gibt es in der IETF eine eigene WG (CDI, http://www.ietf.org/html.charters/cdi-charter.html) die sich mit dem Interworking unterschiedlicher CDNs beschäftigt.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

hm die frage ist, ob sowas noch viel mit switching zu tun hat, denn ein unix beispielsweise kann man so konfigurieren, dass es durch qos oder auch sogar durch ipf auch nach bestimmten bedingungen einfach redirected und dafür brauch man kein layer4.

Link zu diesem Kommentar
Auf anderen Seiten teilen

sagte ich das mal wieder, irgendwie reimt ihr euch hier alle ganz gern einen zurecht :)

ich sagte, dass man das gleiche ergebnis wie du es beschrieben hast auch damit erreichen kann und man dafuer keinen layer4 brauch.

ich hab mich am anfang immer immer angefragt, warum hier jeder jeden zitiert, ich fand es irgendie nervig, aber jetzt weiss ich warum es hier jeder macht ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...