Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Leute,

ich soll für unseren Netzwerk Admin einen Test in einem Testnetz machen, wo 5-10 Clients mit dem WAN oder intern kommunizieren. Meine Aufgabe ist es, diese Kommunikation mitzuschneiden und auszuwerten:

Bsp:

Ich bin 192.168.0.111

alle anderen liegen vor und nach mir im segment gehen über einen router .200 ins wan.

Wie kann ich diesen Traffic mitschneiden, wenn er extern meiner maschine passiert?

Danke für den Tipp.

Geschrieben

Hallo,

was meinst Du mit "vor und nach mir"? Numerisch bezogen auf die IP-Adressen?

Sofern Du im selben Segment wie die anderen Endsysteme bist, kannst Du den Traffik mit einem Tool wie ethereal (http://www.ethereal.com/) analyiseren. In einem geswitchten Netz kann es allerdings problematisch werden, da der Verkehr nicht bei Dir sichtbar ist. Viele Switches haben allerdings einen extra Port, auf dem der vollständige Switch-Traffik anliegt. Du musst dann Deine Meßstation an diesen Port hängen.

Nic

Geschrieben

oder du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst.... komisch ausgedrückt...

also Bsp:

deine station hat MAC A

das Gateway hat die MAC B

wenn ihr beide die gleiche habt, broadcastet er alle outgoing-packete auf beide ports... somit kannst du alles sniffen...

nur als Bsp....

Geschrieben
Original geschrieben von stunned

oder du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst.... komisch ausgedrückt...

also Bsp:

deine station hat MAC A

das Gateway hat die MAC B

wenn ihr beide die gleiche habt, broadcastet er alle outgoing-packete auf beide ports... somit kannst du alles sniffen...

nur als Bsp....

Kann es sein das du MAC Spoofing und ARP Spoofing vermischst?

Mal ein Auszug aus dem Heise Form, da wurde ARP Spoofing IMHO sehr gut erklärt:

DerGrosseMumpitz (7. Mai 2003 23:37)

asmael666 schrieb am 7. Mai 2003 17:27

> Wie funktioniert das?

IP-pakete (layer 3, "network"-layer) werden in ethernet-segmenten

innerhalb von ethernet-paketen - ether-frames genannt - (layer 2,

"data link"-layer oder nur "link layer") transportiert. In beiden

schichten gibt es adressen: IP-pakete verwenden IP-adressen,

ether-frames verwenden MAC-adressen (auch "hardware-adressen") zur

zustellung.

Will nun innerhalb eines IP-subnetzes (zb. 192.168.1.0/24, d.h.

subnetzmaske 255.255.255.0 oder "class C") der host mit der IP

192.168.1.10 dem host mit der IP 192.168.1.20 ein IP-paket schicken,

so muss er _vorher_ dessen MAC-adresse herausfinden! Also sendet er

ein ARP-REQUEST genannten ether-frame an die

link-layer-broadcast-adresse "FF:FF:FF:FF:FF:FF", d.h. am alle hosts

im ethernet-segment:

23:21:58.792759 arp who-has 192.168.1.20 tell 192.168.1.10

Das ist ein "rundruf" ins lokale netz "wer von euch hat die

IP-adresse 192.168.1.20". Nun sollte der host mit dieser IP mit einem

ARP-REPLY antworten:

23:21:58.792905 arp reply 192.168.1.20 is-at 00:50:FC:AA:BB:CC

dh. "ich habe diese IP, und ich habe die MAC-adresse

00:50:FC:AA:BB:CC". Dann erst verpackt der host 192.168.1.10 das zu

versendende IP-paket in einen ethernet-frame mit zieladresse

00:50:FC:AA:BB:CC und schickt es los.

Wenn nun ein zweiter host ebenfalls behauptet, diese IP-adresse zu

haben (also ein arp-reply mit _seiner_ MAC-adresse schickt)

23:21:58.792800 arp reply 192.168.1.20 is-at 00:50:FC:AA:BB:CD

so handelt es sich entweder um eine ausversehen doppelt vergebene IP

(mit all den unschoenen netzwerkeffekten) oder um boeswilliges

ARP-SPOOFING. Wenn der gefaelschte arp-reply _vor_ dem echten

ankommt, hat der spoofer gewonnen und wird AUCH IN EINEM GESWITCHTEM

netzwerk die IP-pakete erhalten. Damit das nicht auffaellt, wird er

alle empfangenen pakete sofort an die richtige MAC-adresse bouncen.

Dein einziges problem als angreifer: Deine arp-replies muessen

schneller ankommen als die Deines opfers. Aber auch da gibt es mittel

& wege ...

Dagegen hilft auch keine "switch port-security" oder wie auch immer

der switch-hersteller das nennt (das schuetzt naemlich gegen

MAC-spoofing ...).

Dagegen hilft aber zb.

* ein sog. "layer-3-switch" mit festen ARP- & MAC-tabellen

(schweineteuer)

* IPsec (habe ich noch nicht von gehoert, dass alle hosts eines

netzes IPsec miteineander sprechen)

* ARP-watcher, dann faellt sowas zumindest auf.

> Und in einem geswichten Netz kann ich den Switch dazu bringen, mich

> statt des eigentlichen Zielrechners zu bedienen?

Da der switch nur auf MAC-adressen achtet, muss man ihn zu nix

ueberreden. Die sind ja (im gegensatz zu MAC-spoofing) nicht

gefaelscht.

> Aber wie? Ich meine,

> wenn ich IP und/oder MAC spoofe, gibt es 2 'gleiche' Rechner im Netz.

Deswegen muss der boesewicht die pakete gleich an das opfer

weiterleiten (ggf. veraendert ;-)

> Wie priorisiere ich mich da, daß die Verbindung zu mir aufgebaut wird

> und nicht zum eigentlichen Zielrechner?

Sei schneller mit Deinen arp-replies als Dein opfer

/mumpitz

Geschrieben

deine station hat MAC A

das Gateway hat die MAC B

wenn ihr beide die gleiche habt

Also hab ihr beide die selbe MAC --> MAC Spoofing.

Dann brauchst du

du sendest einen ARP-Packet an alle maschinen der deine IP/MAC-zuweisung der MAC des Gateways (router) anpasst

aber nicht, denn das wäre ARP Spoofing. Falsch war nichts. Nur beides vermischt.

Geschrieben

Hallo,

Abgesehen davon, dass das in dem im ersten Artikel beschriebene Einsatzfeld viel zu aufwändig bzw. nicht realisierbar ist, warum sollte man zu diesen Mitteln greifen?? Das sind Mechanismen, die üblicherweise beim Angriff auf Netze bzw. Endsysteme zum Einsatz kommen. Da es sich um ein regulären Szenario in einem Testnetz handelt, sollte man auch auf die passenden Messmethoden zurückgreifen (also die Meßstation an den richtigen Port hängen und die entsprechende Software einsetzen).

Nic

Geschrieben

ich glaub ich hab mich einfach nur blöd ausgedrückt:

ich meinte mit "beide die gleiche MAC" nicht dass er von hand

die mac ändern soll sondern einfach ein ARP-Reply versenden soll!

somit wird doch nix vermischt?? oder steh ich gerade auf dem schlauch?

@nic_power

du hast recht :D

Geschrieben
Original geschrieben von stunned

ich glaub ich hab mich einfach nur blöd ausgedrückt:

ich meinte mit "beide die gleiche MAC" nicht dass er von hand

die mac ändern soll sondern einfach ein ARP-Reply versenden soll!

somit wird doch nix vermischt?? oder steh ich gerade auf dem schlauch?

ARP ist die Zuordnung einer MAC zu einer gegebenen IP. Wenn du darauf antwortest würden also beide unter der gleichen IP erscheinen, allerdings jeder mit seiner MAC ID.

Aber ich denke du meinst schon das richtige.. :)

@nic_power

du hast recht :D

Ja, hat er :D Aber ARP Spoofing ist auf ein interessantes Thema ;)

Geschrieben

hiho..

warum denn so kompliziert??

Wenn du in einem geswitcheten Netz snifen möchtest, nimmst du den monitoringport deines switches...

in einem Netz mit Hubs ist eh alles egal... denn:

Netzwerkkarten haben einen Modus, der sich "occupied" (<-- richtig geschrieben??) nennt. In diesem Modus nimmt die Netzwerkkarte alle Pakete an, die an ihrem Port vorbeihuschen. Du musst also nur noch einen Filter setzten, der dir die sachen für deinen Router rausfilter (host=192.168.0.111 oder wie auch immer)..

Der meiner ansicht nach beste sniffer ist ethereal (es gibt auch eine portation auf windows). Bei dem Sniffer kannst du unter anderem Filter setzten, und besagten Modus an deiner Netzwerkkarte einstellen...

Gruß Taz

Geschrieben

@taz:

Ich nehme an, Du meinst den promiscous mode, in der eine Karte alle Datenpakete empfängt und nicht nur die, die für sie bestimmt sind (also entweder die Unicast-Macadresse tragen oder Broad/Multicast-Mac Adressen)? Unter den frei verfügbaren Sniffern ist etherreal sicherlich einer der besten, im kommerziellen Bereich gibt es aber Tools, die deutlich mächtiger sind und einen wesentlich größeren Funktionsumfang besitzen (beispielsweise EtherPeek, http://www.wildpackets.com/).

Nic

Geschrieben
Original geschrieben von nic_power

@taz:

Ich nehme an, Du meinst den promiscous mode, ..).

japp stimmt.. jetzt wo du es so sagst.. hab euch nochmal nachgeschaut..

Aber Ethereal schlägt auch einige der kommerziellen Produkte.. eds Weiteren habe ich noch nie irgendeine Funktion vermisst.. was braucht man denn, was ethereal nicht kann?? mir fällt nämlich nichts ein...

aber das tut hier auch nichts zu Sache..

bis denn mal, Taz

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...