byteshidda Geschrieben 10. Mai 2003 Geschrieben 10. Mai 2003 Hallo Leute, ich soll für unseren Netzwerk Admin einen Test in einem Testnetz machen, wo 5-10 Clients mit dem WAN oder intern kommunizieren. Meine Aufgabe ist es, diese Kommunikation mitzuschneiden und auszuwerten: Bsp: Ich bin 192.168.0.111 alle anderen liegen vor und nach mir im segment gehen über einen router .200 ins wan. Wie kann ich diesen Traffic mitschneiden, wenn er extern meiner maschine passiert? Danke für den Tipp. Zitieren
nic_power Geschrieben 10. Mai 2003 Geschrieben 10. Mai 2003 Hallo, was meinst Du mit "vor und nach mir"? Numerisch bezogen auf die IP-Adressen? Sofern Du im selben Segment wie die anderen Endsysteme bist, kannst Du den Traffik mit einem Tool wie ethereal (http://www.ethereal.com/) analyiseren. In einem geswitchten Netz kann es allerdings problematisch werden, da der Verkehr nicht bei Dir sichtbar ist. Viele Switches haben allerdings einen extra Port, auf dem der vollständige Switch-Traffik anliegt. Du musst dann Deine Meßstation an diesen Port hängen. Nic Zitieren
stunned Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 oder du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst.... komisch ausgedrückt... also Bsp: deine station hat MAC A das Gateway hat die MAC B wenn ihr beide die gleiche habt, broadcastet er alle outgoing-packete auf beide ports... somit kannst du alles sniffen... nur als Bsp.... Zitieren
DownAnUp Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 Original geschrieben von stunned oder du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst.... komisch ausgedrückt... also Bsp: deine station hat MAC A das Gateway hat die MAC B wenn ihr beide die gleiche habt, broadcastet er alle outgoing-packete auf beide ports... somit kannst du alles sniffen... nur als Bsp.... Kann es sein das du MAC Spoofing und ARP Spoofing vermischst? Mal ein Auszug aus dem Heise Form, da wurde ARP Spoofing IMHO sehr gut erklärt: DerGrosseMumpitz (7. Mai 2003 23:37) asmael666 schrieb am 7. Mai 2003 17:27 > Wie funktioniert das? IP-pakete (layer 3, "network"-layer) werden in ethernet-segmenten innerhalb von ethernet-paketen - ether-frames genannt - (layer 2, "data link"-layer oder nur "link layer") transportiert. In beiden schichten gibt es adressen: IP-pakete verwenden IP-adressen, ether-frames verwenden MAC-adressen (auch "hardware-adressen") zur zustellung. Will nun innerhalb eines IP-subnetzes (zb. 192.168.1.0/24, d.h. subnetzmaske 255.255.255.0 oder "class C") der host mit der IP 192.168.1.10 dem host mit der IP 192.168.1.20 ein IP-paket schicken, so muss er _vorher_ dessen MAC-adresse herausfinden! Also sendet er ein ARP-REQUEST genannten ether-frame an die link-layer-broadcast-adresse "FF:FF:FF:FF:FF:FF", d.h. am alle hosts im ethernet-segment: 23:21:58.792759 arp who-has 192.168.1.20 tell 192.168.1.10 Das ist ein "rundruf" ins lokale netz "wer von euch hat die IP-adresse 192.168.1.20". Nun sollte der host mit dieser IP mit einem ARP-REPLY antworten: 23:21:58.792905 arp reply 192.168.1.20 is-at 00:50:FC:AA:BB:CC dh. "ich habe diese IP, und ich habe die MAC-adresse 00:50:FC:AA:BB:CC". Dann erst verpackt der host 192.168.1.10 das zu versendende IP-paket in einen ethernet-frame mit zieladresse 00:50:FC:AA:BB:CC und schickt es los. Wenn nun ein zweiter host ebenfalls behauptet, diese IP-adresse zu haben (also ein arp-reply mit _seiner_ MAC-adresse schickt) 23:21:58.792800 arp reply 192.168.1.20 is-at 00:50:FC:AA:BB:CD so handelt es sich entweder um eine ausversehen doppelt vergebene IP (mit all den unschoenen netzwerkeffekten) oder um boeswilliges ARP-SPOOFING. Wenn der gefaelschte arp-reply _vor_ dem echten ankommt, hat der spoofer gewonnen und wird AUCH IN EINEM GESWITCHTEM netzwerk die IP-pakete erhalten. Damit das nicht auffaellt, wird er alle empfangenen pakete sofort an die richtige MAC-adresse bouncen. Dein einziges problem als angreifer: Deine arp-replies muessen schneller ankommen als die Deines opfers. Aber auch da gibt es mittel & wege ... Dagegen hilft auch keine "switch port-security" oder wie auch immer der switch-hersteller das nennt (das schuetzt naemlich gegen MAC-spoofing ...). Dagegen hilft aber zb. * ein sog. "layer-3-switch" mit festen ARP- & MAC-tabellen (schweineteuer) * IPsec (habe ich noch nicht von gehoert, dass alle hosts eines netzes IPsec miteineander sprechen) * ARP-watcher, dann faellt sowas zumindest auf. > Und in einem geswichten Netz kann ich den Switch dazu bringen, mich > statt des eigentlichen Zielrechners zu bedienen? Da der switch nur auf MAC-adressen achtet, muss man ihn zu nix ueberreden. Die sind ja (im gegensatz zu MAC-spoofing) nicht gefaelscht. > Aber wie? Ich meine, > wenn ich IP und/oder MAC spoofe, gibt es 2 'gleiche' Rechner im Netz. Deswegen muss der boesewicht die pakete gleich an das opfer weiterleiten (ggf. veraendert ;-) > Wie priorisiere ich mich da, daß die Verbindung zu mir aufgebaut wird > und nicht zum eigentlichen Zielrechner? Sei schneller mit Deinen arp-replies als Dein opfer /mumpitz Zitieren
stunned Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 ja das ist korrekt beschrieben... nur ich verstehe nicht was in meiner ausführung so falsch war??? Zitieren
DownAnUp Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 deine station hat MAC A das Gateway hat die MAC B wenn ihr beide die gleiche habt Also hab ihr beide die selbe MAC --> MAC Spoofing. Dann brauchst du du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst aber nicht, denn das wäre ARP Spoofing. Falsch war nichts. Nur beides vermischt. Zitieren
nic_power Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 Hallo, Abgesehen davon, dass das in dem im ersten Artikel beschriebene Einsatzfeld viel zu aufwändig bzw. nicht realisierbar ist, warum sollte man zu diesen Mitteln greifen?? Das sind Mechanismen, die üblicherweise beim Angriff auf Netze bzw. Endsysteme zum Einsatz kommen. Da es sich um ein regulären Szenario in einem Testnetz handelt, sollte man auch auf die passenden Messmethoden zurückgreifen (also die Meßstation an den richtigen Port hängen und die entsprechende Software einsetzen). Nic Zitieren
stunned Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 ich glaub ich hab mich einfach nur blöd ausgedrückt: ich meinte mit "beide die gleiche MAC" nicht dass er von hand die mac ändern soll sondern einfach ein ARP-Reply versenden soll! somit wird doch nix vermischt?? oder steh ich gerade auf dem schlauch? @nic_power du hast recht Zitieren
DownAnUp Geschrieben 12. Mai 2003 Geschrieben 12. Mai 2003 Original geschrieben von stunned ich glaub ich hab mich einfach nur blöd ausgedrückt: ich meinte mit "beide die gleiche MAC" nicht dass er von hand die mac ändern soll sondern einfach ein ARP-Reply versenden soll! somit wird doch nix vermischt?? oder steh ich gerade auf dem schlauch? ARP ist die Zuordnung einer MAC zu einer gegebenen IP. Wenn du darauf antwortest würden also beide unter der gleichen IP erscheinen, allerdings jeder mit seiner MAC ID. Aber ich denke du meinst schon das richtige.. @nic_power du hast recht Ja, hat er Aber ARP Spoofing ist auf ein interessantes Thema Zitieren
TAZttDevil Geschrieben 14. Mai 2003 Geschrieben 14. Mai 2003 hiho.. warum denn so kompliziert?? Wenn du in einem geswitcheten Netz snifen möchtest, nimmst du den monitoringport deines switches... in einem Netz mit Hubs ist eh alles egal... denn: Netzwerkkarten haben einen Modus, der sich "occupied" (<-- richtig geschrieben??) nennt. In diesem Modus nimmt die Netzwerkkarte alle Pakete an, die an ihrem Port vorbeihuschen. Du musst also nur noch einen Filter setzten, der dir die sachen für deinen Router rausfilter (host=192.168.0.111 oder wie auch immer).. Der meiner ansicht nach beste sniffer ist ethereal (es gibt auch eine portation auf windows). Bei dem Sniffer kannst du unter anderem Filter setzten, und besagten Modus an deiner Netzwerkkarte einstellen... Gruß Taz Zitieren
nic_power Geschrieben 15. Mai 2003 Geschrieben 15. Mai 2003 @taz: Ich nehme an, Du meinst den promiscous mode, in der eine Karte alle Datenpakete empfängt und nicht nur die, die für sie bestimmt sind (also entweder die Unicast-Macadresse tragen oder Broad/Multicast-Mac Adressen)? Unter den frei verfügbaren Sniffern ist etherreal sicherlich einer der besten, im kommerziellen Bereich gibt es aber Tools, die deutlich mächtiger sind und einen wesentlich größeren Funktionsumfang besitzen (beispielsweise EtherPeek, http://www.wildpackets.com/). Nic Zitieren
TAZttDevil Geschrieben 15. Mai 2003 Geschrieben 15. Mai 2003 Original geschrieben von nic_power @taz: Ich nehme an, Du meinst den promiscous mode, ..). japp stimmt.. jetzt wo du es so sagst.. hab euch nochmal nachgeschaut.. Aber Ethereal schlägt auch einige der kommerziellen Produkte.. eds Weiteren habe ich noch nie irgendeine Funktion vermisst.. was braucht man denn, was ethereal nicht kann?? mir fällt nämlich nichts ein... aber das tut hier auch nichts zu Sache.. bis denn mal, Taz Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.