IT-Academy Logo
Sign Up Login Help
Home - Netzwerke - Die Therorie des Sniffens in geswitchten Netzen



Die Therorie des Sniffens in geswitchten Netzen

Das Einsetzen von Switchs in Netzwerken soll normalerweise das Mitlesen von Daten verhindern. Hier möchte ich einige theoretische Grundlagen liefern, dennoch Daten mitzulesen.


Autor: Martin Dethlefsen (Psyrius)
Datum: 03-02-2004, 22:19:23
Referenzen: Magazin: hakin9 Ausgabe 2
Schwierigkeit: Fortgeschrittene
Ansichten: 18290x
Rating: 8.5 (8x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Einleitung:

Ethernet ist eine Technologie bzw. eine Familie von Protokollen mit logischer Busstruktur. Alle versendeten Rahmen werden ausschließlich von dem Empfänger gelesen, dessen Hardwareadresse (MAC-Adresse) mit der Zieladresse des übertragenden Rahmen übereinstimmt.

Ein Switch merkt sich die MAC-Adressen der angeschlossenen Clients und speichert sie in einer Adresstabelle, deren Größe je nach Switch unterschiedlich ist, in der Regel 2 bis 8 kByte. D.h. ein Switch kann mehrere Hundert 6 Byte große MAC-Adressen speichern, wobei ein Switch nur einige Ports hat. Die restliche Speicherkapazität wird benötigt, um Verbindungen in einem Netz mit Baumstruktur zu realisieren. Die beim Switch ankommenden Rahmen werden nur an den Port eines Switches weitergeleitet, dem die entsprechende MAC-Adresse zugeordnet wird. Kommt nun am Switch ein Rahmen an, dessen MAC-Adresse ihm nicht bekannt ist, sendet er den Rahmen an alle Ports (genauso wie ein HUB).

Der Einsatz eines Switches macht die klassischen Sniffing Methoden (einstellen der NIC, dass sie jeden über das Medium gesendeten Rahmen unabhängig der Empfängeradresse verarbeitet) unmöglich, weil an die PC-NIC nur die für sie bestimmten Rahmen und Funkrahmen (broadcasts) ankommen. Es gibt jedoch Mittel und Wege in geswichten Netzen die übertragenen Daten mit zu sniffen.

MAC-flooding (Überfluten der Adresstabelle im Switch)

Die am wenigsten wirksame Methode ist das MAC-flooding. Beim MAC-flooding wird der Switch mit sehr vielen Rahmen, die eine gefälschte Absenderadresse besitzen, bombardiert. Selbstverständlich erreicht die Adresstabelle im Switch bald ihre Grenzen. Weil der Switch nun nicht mehr effektiv von real vorhandenen Adressen und gefälschten unterscheiden kann, leitet er die Rahmen, deren Empfänger er nicht kennt auf alle Ports (wie ein HUB). Jedoch haben hochwertige Switches einen für jeden Port getrennten Speicherbereich in der Adresstabelle, so dass man lediglich den Port überfluten würde, von dem aus man den Angriff startet.

Da der Switch die Informationen über die Ports in regelmäßigen Zeitabständen aktualisiert, (da man sonst keine PCs von Port zu Port im Betrieb umklemmen könnte) muss der Überflutungsprozess kontinuierlich geführt werden. Es dauert auch etwas bis der Speicher im Switch überflutet ist. Sobald der Switch sich wie ein HUB verhält, kann man die vom klassischen Ethernet bekannten Lauschmethoden anwenden.

ARP-spoofing (Fälschung der ARP-Pakete)

Die Methode des ARP-spoofing beruht auf dem versenden eines gefälschten ARP-Reply Rahmens. ARP-Reply wird im Netz benötigt, um Informationen über die Abbildung von IP-Adressen auf MAC-Adressen zu gewinnen. Das ganze funktioniert folgendermaßen:
  1. Der Host fragt nach der MAC-Adresse des Gateways.
  2. Das angreifende System schickt eine falsche Antwort und gibt sich als Gateway aus.
  3. Die falsche Antwort des Angreifers wird vom Anfrager angenommen und die des echten Gateways wird verworfen.
  4. Die Informationen werden nun zum Angreifer übertragen und von ihm an das Gateway weitergeleitet.
In diesem Fall arbeitet der Rechner des Angreifers als "Pseudorouter der zweiten Schicht". Diese Vorgehensweise ist analog zu Angriffen vom Typ "Man in the Middle", die in höheren Schichten angewendet werden (z.B. Fälschung von DNS-Antworten).

Duplizieren der MAC-Adresse

Was passiert eigentlich wenn auf zwei Ports am Switch eine MAC-Adresse doppelt vorkommt? Diesen Fall läst man eigentlich außer acht, da dies in der Regel niemals vorkommen wird (Ausnahme: Brückenschleife). Der Switch wird daraus kein Problem machen, weil er die Ports als gleichwertig behandelt und an beide Rahmen schickt. Nun muss man die eigene MAC-Adresse fälschen. Die einfachste Möglichkeit dies zu realisieren, ist die MAC-Adresse per Software zu fälschen.

Viele Netzwerkkarten und Betriebssysteme beinhalten solche Optionen. Da der Switch aber die Daten seiner Adresstabelle aktualisiert, muss man ihn länger im glauben lassen das zwei mal die gleiche MAC-Adresse an seinen Ports vorhanden ist. Dies lässt sich am einfachsten erreichen, indem man einfach einen endlos Ping auf eine beliebige Adresse startet. Selbstverständlich kann man so nur die Informationen bekommen, die an die MAC-Adresse, die nachgeahmt wird, gerichtet sind. Dies kann aber schon reichen um Passwörter abzufangen.


dreamer
Expert
Beitrag vom:
18-07-2007, 23:48:20

An sich ein interessanter Artikel. Leider befürchte ich dass die "falsche Leute" diesen Artikel ebenso interessant finden werden.

-----------------------------------------------------


squeez
Rookie
Beitrag vom:
18-03-2004, 21:47:13

Praktisches Beispiel zum Thema

Tach zusammen

Ich habe zu diesem Thema ein praktisches Beispiel fuer Linux geschrieben, womit es moeglich ist, genau die besprochenen Funktionen zu TESTEN ! (wie auch immer...):

http://www.mypage.bluewin.ch/squeez

-----------------------------------------------------
Sicherheit in Ethernet Netzwerken mit Hijacking unter Linux testen mit: http://www.mypage.bluewin.ch/squeez


Psyrius
Senior Member
Beitrag vom:
23-02-2004, 17:06:04

Wie die Headline schon sagt, wollte ich nur auf die Theorie eingehen, da ich nicht für Schäden, etc. verantwortlich sein will. Außerdem sollte dieser Artikel keine Anleitung sein sondern eher ein Überblick die Schwachstellen geben.

-----------------------------------------------------
Why? Hmm, well why not!


paulniemann
Rookie
Beitrag vom:
23-02-2004, 14:55:18

Guter Artikel

Ein hochinteressanter Artikel. Allerdings hätte ich auch ein Praxisbeispiel gern gesehen. Zum anderen User: Mit der Software Smac kannst du deine Mac- Adresse ändern. Suche einfach unter http://www.klcconsulting.net/ nach dem Programm Smac, läuft unter Windows 2000, XP und 2003. Damit kann man seine Mac- Adresse ändern. Unter Linux geht das mit dem Befehl ifconfig irgendwie. Vielleicht hilft dir das schon weiter.

-----------------------------------------------------
Gruss, Paul


SFiL
Junior-Member
Beitrag vom:
17-02-2004, 16:21:27

artikel hat mir gefallen

Hallo,
der Artikel hat mir soweit ganz gut gefallen. Ich habe das prinzip auf einer LIVE Hacking Show schon einmal gesehen. Mir hätte es noch gefallen, wenn man anhant eines Beispiels (vielleicht unter Linux) einmal solch einen fall nachspielt.
Sonst ist es trotzdem aus meiner Sicht gut und richtig geschrieben.
LG Sebastian

-----------------------------------------------------


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04506
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06243
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1142
Comments: 0