nicht angemeldet
Warum iss sniffen ein Problem?
Einen sonnigen Morgen wünsche ich!
Ich hab da mal ein Verständnisproblem und ich hoffe, dass ich nicht der
einzige bin, der mal wieder zu blöd ist?!
Den Begriff Sniffen kenn ich schon ne Weile, hab aber nie so recht
damit beschäftigt, um Funktionweise, Methodik, Sinn und Zweck oder ähnliches
herauszufinden.
In letzter Zeit liest man (zumindest ich) aber wieder sehr viel in
Zeitschriften und sonstwo. Also mal gelesen was das Ding überhaupt macht.
So wie ich's verstanden hab, greift ein Sniffer (oftmals als
Netzwerk-Analyse-Tool verkauft) die vorbeikommenden Protokoll-Pakete auf
(TCP IP UDP, etc.) und kann diese analysieren oder zumindest mal speichern
und sichtbar machen.
Das soll das Tool sein, um gerade im Internet Zugangsberechtigungen zu
erspähen, da diese ja unverschlüsselt oder zumeist nur sehr unzureichend
verschlüsselt(Base64-Standard Authentifizierung) gesendet werden.
Hab meinen Rechner mal "überwacht" und war schon etwas erstaunt, wie leicht
und schnell das ging.
Soweit so gut, aber nun mein Verständnisproblem.
Im Netzwerk, sowohl in der Firma, als auch (oder gerade) im Internet wird
an den Netzerknoten doch Switchingtechnologie eingesetzt. Dies konnte mir
auch ein bei Nortel arbeitender Bekannter bestätigen. Nun diese Switche
machen ja etwas mehr als nur verbinden, denn sie analysieren das Paket,
den Empfänger und machen das Netz für das Paket dann auch nur in die
eine Richtung auf. Will heissen. Dieses Paket sieht sozusagen nur die
Strecke von Absender zum Empfänger und nicht wie alter Hub-Technologie das
ganze Netz. Mein Rechner, der also an einem Switch hängt, sieht also nichts
von anderen TCP/IP-Paketen von anderen Rechnern (mal die unwichtigen
broadcasts vernachlässigt). Obwohl zu meiner Schande, ab und zu bekam ich
doch mal was. Aber ich geh davon aus, dass sich der Switch ab und zu mal
auskotzt, wenn er überlastet wird ?!
Also warum so ein Trubel um Sniffer?
Oder gibt's die Switche bisher nur an "grossen" Knoten und man kann damit
so 100 oder sogar mehr Haushalte ausspionieren? Hab's im Internet nicht
ausprobiert. Will ich ja auch selber gar nicht (schon wegen der
Sniffer-Detektoren *smile*).
Oder kann man gar den Switches vielleicht so ne Art Master vorgaukeln
(wenn's sowas gibt), dass dieser alles auch zu uns leitet?
Mich würd mal etwas Background von Euch interessieren.
Grüße,
Knud
-
Sup!
Du hast schon recht, wenn das ganze Netzwerk von Dir bis zum Empfänger nur mit Switches verbunden ist, dann kann eigentlich keiner sniffen.
Sniffen kann man eigentlich nur, wenn das Netz mit Hubs verbunden ist oder in Ringnetzen. Wenn natürlich jemand weit genug oben in der Leitung sitzt und z.B. einen Rechner kontrolliert, über den geroutet wird, kriegt er die Pakete halt trotzdem. Manchmal haben Switches ja auch Sicherheitsprobleme und man kann sie dazu überreden, ihre Konfiguration leicht zu modifizieren und die vorbeikommenden Pakete doch noch woanders hinzuschicken, zu einem angeblichen Log-Server oder so.
Man kann aber in der Firma auch einfach noch einen Hub oberhalb des Switches anschliessen und seine Netzwerkleitung dort einstecken, und schon kriegt man alles mit, was über den Switch läuft. Wie oft wird schon nachgesehen, ob die Verkabelung stimmt? Wenn man dann die Passwörter hat, kann man ja wieder umstecken und keiner merkt's.Sniffen ist im Wave-LAN auch wieder aktuell - wenn das nicht verschlüsselt läuft, kann man wunderbar alles abgreifen, was da so rumfliegt. Dann kann man seine MAC-Adresse faken und sich selbst als Rechner im LAN ausgeben, nachdem man den Original-Rechner dem die MAC gefört mit unfeinen Methoden zum Schweigen gebracht hat.
Daß es Sniffer-Aufspürer geben soll, halte ich übrigens für ein Gerücht... wie sollte das auch funktionieren.
Gruesse,
Bio
-
Hi,
Sniffen ist im Wave-LAN auch wieder aktuell - wenn das nicht verschlüsselt läuft, kann man wunderbar alles abgreifen, was da so rumfliegt. Dann kann man seine MAC-Adresse faken und sich selbst als Rechner im LAN ausgeben, nachdem man den Original-Rechner dem die MAC gefört mit unfeinen Methoden zum Schweigen gebracht hat.
Daß es Sniffer-Aufspürer geben soll, halte ich übrigens für ein Gerücht... wie sollte das auch funktionieren.
Man kann ja allen, die ihre Netzwerkkarte im promiscius mode laufen haben, kathegorisch auf den Deckel hauen.
Aber das geht nur bei den Script Kiddies. Wer die MAC auf ein Eprom brennen kann und so eine andere vortäuschen kann, der kann die karte auch dazu überreden bei der Anfrage nach dem promiscius mode einfach "nö, i do net" zu antworten.Also wirklich was dagegen tun kann man wohl nicht.
Cu, Vedat
-
Tach!
Man kann ja allen, die ihre Netzwerkkarte im promiscius mode laufen haben, kathegorisch auf den Deckel hauen.
Aber das geht nur bei den Script Kiddies. Wer die MAC auf ein Eprom brennen kann und so eine andere vortäuschen kann, der kann die karte auch dazu überreden bei der Anfrage nach dem promiscius mode einfach "nö, i do net" zu antworten.Soll das heissen, die Karte erzaehlt auf Anfrage jedem anderen Rechner im Netz, dass sie im Promiscuous mode laeuft? Auf welchem Protokolllevel soll das dann laufen?
So long
-
Hi,
Soll das heissen, die Karte erzaehlt auf Anfrage jedem anderen Rechner im Netz, dass sie im Promiscuous mode laeuft? Auf welchem Protokolllevel soll das dann laufen?
Ich weiß es nicht, aber das tut sie tatsächlich. Aber wie gesagt, es muß nicht stimmen, was da als Rückmeldung kommt.
Ich hab es mir nur mal zeigen lassen. War ein Linux-Befehl, der die anderen NW-Karten gefragt hat, "Wer bist Du?".
Ich frag den Typen mal, wie das ging.
Ciao, Vedat
-
-
-