Geswichtes Netzwerk sniffen?

[nic_power]

Original geschrieben von cesm

sagte ich das mal wieder, irgendwie reimt ihr euch hier alle ganz gern einen zurecht

ich sagte, dass man das gleiche ergebnis wie du es beschrieben hast auch damit erreichen kann und man dafuer keinen layer4 brauch.

Aeh, da kann ich jetzt nicht so ganz folgen. Auf die Gefahr hin, dass ich mich wiederhole: Um Layer-4 Switching Funktionalitaet implementieren zu können, benötigst Du auch einen Layer-4 Switch (mit Unix hat das nichts zu tun). Mit einem Layer-3 Switch laesst sich der selbe Effekt nicht erreichen, da dieser nicht in der Lage ist, Layer-4 Requests (also beispielsweise http oder ftp) auszuwerten!

Nic

[TschiTschi]

Original geschrieben von daking

2. ICMP-Redirect (Local Router)

Bei dieser Technik wird der gesamte Traffic im Netzwerk nicht mehr über den Switch sondern über dich geleitet.

Ciao

Das ist Blödsinn. Ein Switch ist ein Layer 2 Gerät , weswegen er sich für ICMP-Pakete (Ebene 3 bzw. 4) überhaupt nicht interessiert!

Original geschrieben von cesm

ich rede von arp und das dieses protokoll zum einsatz kommt bevor jegliche layer5 kommunikation zustande kommt

Auch DAs ist nicht richtig!

Ein ARP-Request geht auch dann raus, wenn Du überhaupt keine Verbindung aufbaust (z.B. beim PING). Umgekehrt wird auch bei einem Verbindungsaufbau KEIN ARP-Request geschickt, wenn die Adresse noch im ARP-Cache vorhanden ist oder "statisch" konfiguriert wurde.

GG

[cesm]

zu nic: hallO??? man kan das gleich ziel, welches du mit deinem tollen layer4 redirect erklärt hast auch anderes erzielen. mehr hab ich nicht gesagt.

tschithi: aehm, sagte ich was anderes, ich treibt mich echt in den wahnsinn. durch arp tauschen sich 2 kompatible (rfc 826) tcp/ip schnittstellen aus. UND DAS VOR JEDER KOMMUNIKATION ÜBER DIVERSE ANDERE PROTOKOLLE, UND DAZU GEHÖRT AUCH JEDES PAKET ÜBER LAYER4. Das kein arp austausch stattfindet, wenn für die ip noch eine mac adresse in der arp-tabelle vorhanden ist, ist doch völlig logisch, weil ansonsten bräuchte man ja keinen switch, wenn diese geräte immer noch requests und replys rausschicken würde, welche noch keiner ziel-macadresse angehören.

hauptsache mal genörgelt

[Klotzkopp]

Original geschrieben von cesm

zu nic: hallO??? man kan das gleich ziel, welches du mit deinem tollen layer4 redirect erklärt hast auch anderes erzielen. mehr hab ich nicht gesagt.

Und da liegt das Problem: Bitte fang hier keine NEIN - DOCH - NEIN - Spielchen an, wir sind hier nicht im Kindergarten. Wenn Du einen anderen Weg dafür kennst, dann werde bitte konkret, alles andere bringt uns hier nicht weiter. Die Polemik kannst Du Dir bitte auch sparen, die gehört hier genausowenig hin.

tschithi: aehm, sagte ich was anderes, ich treibt mich echt in den wahnsinn.

Er hat Dich zitiert

UND DAS VOR JEDER KOMMUNIKATION ÜBER DIVERSE ANDERE PROTOKOLLE, UND DAZU GEHÖRT AUCH JEDES PAKET ÜBER LAYER4.

Schreien muss auch nicht sein.

[TschiTschi]

Original geschrieben von cesm

Das kein arp austausch stattfindet, wenn für die ip noch eine mac adresse in der arp-tabelle vorhanden ist, ist doch völlig logisch, weil ansonsten bräuchte man ja keinen switch, wenn diese geräte immer noch requests und replys rausschicken würde, welche noch keiner ziel-macadresse angehören.

Was hat der ARP mit dem MAC-Address-Table im Switch zu tun?

Und was das mit ARP-Requests und ARP-Replys zu tun hat kann ich auch nicht nachvollziehen.

Übrigens: ich "nörgle" nicht, ich versuche Aussagen richtig zu stellen. Wenn Du was anderes MEINST, als Du schreibst, kann ich das nicht wissen!

Und in den Wahnsinn möchte ich Dich auch nicht treiben (und bestimmt auch keiner der Mod-Kollegen!) - wir möchten nur erreichen, dass Du präziser und verständlicher formulierst. Da hätten (wir) alle was davon!

GG

[cesm]

und schon wieder wort im mund rumgedreht

sagte ich was von einer arp tabelle im switch, die gibt es in denen von den wir sprechen garnicht.

so kein bock mehr....war der letzte beitrag von mir in diesem thread, nimmts mir nicht böse, aber wir bewegen uns im kreis, ihr könnt ruhig weiter diskutieren, aber diese unterstellungen hier, was ich immer alles gesagt haben soll, machen mich fertig. ich denk schon ich wäre schizophren und würde nachts immer heimlich irgendwas posten, was ich aber dann am nächsten tag nicht wiederfinde...

gruss und viel spass noch

[nic_power]

Original geschrieben von cesm

zu nic: hallO??? man kan das gleich ziel, welches du mit deinem tollen layer4 redirect erklärt hast auch anderes erzielen. mehr hab ich nicht gesagt.

tschithi: ... Das kein arp austausch stattfindet, wenn für die ip noch eine mac adresse in der arp-tabelle vorhanden ist, ist doch völlig logisch, weil ansonsten bräuchte man ja keinen switch, wenn diese geräte immer noch requests und replys rausschicken würde, welche noch keiner ziel-macadresse angehören.

hauptsache mal genörgelt

Ich habe so das Gefuehl - ohne Dir zu nahe treten zu wollen - dass Dir die Unterschiede zwischen L2, L3 und L4 Switching noch nicht so ganz klar sind. Da ich auch keine Lust auf endlose "Nein-doch-Nein" threads habe, habe ich Dir mal ein paar URLs zum Thema L4 Switching herausgesucht:

http://www.nanog.org/mtg-9901/ppt/alteon/sld005.htm

http://www.cacheflow.com/technology/whitepapers/trans.cfm

http://www.networkcomputing.com/1009/1009ws1.html

Die IETF CDI WG hat ebenfalls eine eigene Web-Seite (http://www.ietf.org/html.charters/cdi-charter.html). Einen Ueberblick ueber die unterschiedlichen Request-Routing Mechanismen gibt der Draft draft-ietf-cdi-known-request-routing-01.txt.

schoenen Gruss

Nic

[Freaka]

Hi, das mit den Begriffen ist ja schön durcheinander.

Also Fakt ist, das Switching auf Layer 2 statt findet.

Alles was darüber hinaus geht wird nur so bezeichnet, weil es sich dann besser verkauft. Das ist genau dieselbe Geschichte, wie warum die Switche Switche heißen und nicht Multiportbridge. Verkauft sich halt besser.

Ach ja un so weit ich weiß braucht ein Layer 3 Switch nicht unbedingt einen Client mit Ip-Adresse um Switchen zu können. Solange ich auf meinem Switch in dem selben VLAN bleibe, oder nicht in ein mir unbekanntes Netz gehe, wird normal geswitched. Sobald ich aber in ein anderes Netz gehe wird geroutet, oder auch Layer 3 geswitched. Ein Layer 3 Switch ist in erster Linie ein normaler Switch, bis ich ihn zu einem Layer 3 Switch Configuriere.

[TschiTschi]

Original geschrieben von cesm

sagte ich was von einer arp tabelle im switch, die gibt es in denen von den wir sprechen garnicht.

Das ist natürlich richtig - nur verstehe ich dann nicht, was Deiner Meinung nach ARP mit L2-Switching zu tun hat.

ARP ist eine Broadcast - und die werden bekannter Maßena uf jeden Port weitergereicht!

GG

[cesm]

und dann post ich halt doch nochmal.

tschitschi würdest du den thread komplett lesen haettest du bemerkt, dass ich genau das schon gesagt habe.

das erste paket aber, geht nun aus allen port heraus und der rechner mit der richtigen ip nimmt es an, trägt deine mac adresse mit deiner ip in die arp tabelle und schickt ein paket mit der gleichen funktion zurück, um dir dann wieder seine mac adresse mitzuteilen.

[daking]

Hallo

Ich verstehe in diesem zusammenhang nicht die erwähnung von Layer 5.

Switche arbeiten auf Layer 2, d.h. sie können MAC-Adressen verstehen und diese Ports (Ziele) zuordnen. Der Vorteil von Switches ist die Unicast Kommunikation zwischen Clients; jeder hat die volle Bandbreite des Netzs. Außerdem ermöglicht ein Switch (Layer 2) nach 802.1p das erstellen von VLANs, also logische "Netze" auf Layer 2 (Port zu Vlan zuordnung), die die Collisiondomain verkleinern (nicht die Broadcastdomain). Der Vorteil eines Layer3 Switches ist, dass ich kein weiteres gerät für das routing zwischen Vlans (hier Vlans mit IP zuordnung im Switch oder auf Clientebene) benötige, sondern diese Kommunikation direkt über die Backplane oder Switch-Fabric erledigen kann. Ein Layer 4 Switch hat den Vorteil das ich QOS (Qualitiy of Service) auch nach Services (Ports) aufsetzen kann, was normalerweise nur durch Tagging oder TOS- (Diffserv Feld) Priorisierung ermöglicht wird. Außerdem ist ein verbessert einsatz von ACLs möglich.

Nun nochmal zu der funktionsweise der Layer2 Angriffe:

Im Zusammenhang mit ettercap erwähnte ich den Begriff LocalRouter. Das bedeuten in diesem Fall, dass ich als Angreifer nach ARP who has request lausche. Sendet das Zielsystem A nun einen solchen Request, z.B. nach dem Gateway, antwortet das Gateway zwar (die MAC-Adresse wird also in den ARP Cache von A aufgenommen), ich antworte jedoch entweder früher oder überschreibe den Cache und bin somit das Gateway (spoofing). System A schickt nun alle Pakete an mich und ich kann sie auch mitsniffen, jedoch wars das dann, da ich ja nicht weiterleite. Ich muss also IP forwarding aktivieren. Somit bin ich nach dem Gateway ein zweiter Router; localer Router (überprüfen mit einem tracert x.x.x.x). Dass macht in einem

normalen Netzwerk keinen sinn. sniffe ich mit Sniffer Pro gibt dieser mir sofort einen Fehler aus (so können Angriffe dieser art auch erkannt werden).

Ein weiteres Pronlem besteht, wenn die Kommunikation zwischen zwei Host schon läuft und ich diese umleiten bzw. sniffen will.

Nach ARP spoofing schicke ich nun ein ICMP Route Redirect mit meine Adresse als besseren Router. Der Client muss dies annehmen......

Layer 5 ist in diesem zusammenhang uninteressant! Layer 4 für übernehmen von laufenden Session jedoch schon.

Alle Angriffe sind auf das Subnetz in dem der Angreifer sich befindet beschränkt. Geht mein einen Schritt weiter, also Layer 3 Angriffe auf Netze muss man sich mit Routingprotokollen beschäftigen; sprich wie werde ich Designated Router oder Border Router.

P.S.

dsniff gibts auch für Windows.

ettercap gibts etwas unstabil für Windows.

hunt nicht.

auf diese weise kann man auch VoIP Traffic abhören!!!

[TschiTschi]

Original geschrieben von cesm

und dann post ich halt doch nochmal.

tschitschi würdest du den thread komplett lesen haettest du bemerkt, dass ich genau das schon gesagt habe.

Das war nicht meine Frage! Meine Frage war: was hat das alles mit Switching zu tun?!

GG

[hades]

Es ging hier um das Sniffen von geswitchten Netzwerken.

Das setzt das Wissen, was eine Switch ist und wie sie arbeitet, voraus.

Falls in diesen Dingen Unklarheiten bestehen, macht dazu bitte einen neuen Thread auf.

Es ist fuer den Threadstarter nicht sehr foerderlich, wenn mehrere Themen in einem Thread abgehandelt werden.

[Constantin]

So damit es nicht immer heisst: " Die bösen Mods maulen mit mir!", 'nörgel' ich auch noch ein wenig rum.

@cesm: alles in allem ist das was du gesagt hast schon richtig, jedoch drück Dich bitte mal klarer und vollständiger aus, denn Gedanken lesen können wir hier noch nicht.

Was die Sache mit dem Layer5 'Paket' angeht, das angeblich den arp request initiiert, dazu hat Tschi Tschi schon mit dem Ping gewunken.

du kannst ein geswitchtes netzwerk ruhig sniffen, aber nur alle pakete lesen, die auch nur über physikalische verbindungen zu dir kommen. ein layer 3 switch stellt nur alle pakete dir zu, die auch deiner macadresse zugehörig sind

Aber was soll das bedeuten ?

Du erklärst die Funktionsweise eines stinknormalen 0815-Switches, was hat da das Layer3 zu suchen ?

Layer3 Switche haben - wie auch schon im Thread erwähnt - Routingfunktionalität mit implementiert, sind aber immernoch Switche.

Im übrigen stellt ein Switch Frames zu!

Gruß Constantin

[cesm]

ein post weiter unten hab ich mich auch für den layer schreibfehler entschuldigt (layer2 mit 3 vertauscht). ich frag mich warum ihr, wenn ihr hier schon postet den thread nicht vollständig lesen könnt?