man in the middle attack (kein HOWTO, sondern Verständniss)

Dieses Thema im Forum "Member Talk & Offtopic" wurde erstellt von trunksen, 10.12.2008.

  1. #1 trunksen, 10.12.2008
    trunksen

    trunksen Doppel-As

    Dabei seit:
    13.10.2006
    Beiträge:
    139
    Zustimmungen:
    0
    Ort:
    Österreich, Steiermark
    Hi!

    Also das wird einmal ein langer thread!
    Es werden auch nur wirklich erfahrene und gute Informatiker mir Antworten geben können auf meine Fragen!
    Es geht um folgendes: Ich habe ein langes Gespräch (3 Stunden) mit einem ehemaligen Hacker geführt, bei dem es am Ende dann darauf hinauslief, dass er mir erklärte, wie er (mit WIN 95 noch) in einem LAN eine Man-in-the-middle attack ausführte (ist wohl allgemein bekannt ^^)! Gleich einmal Vorweck: ich habe es NICHT vor irgendwann zu machen oder will auch nicht wissen wie man es tut (dazu bin ich ein zu konstruktiver Mensch ^^)!
    Nur möchte ich die Basics, welche ich über NW und OS erfahren haben ganz verstehen, bzw. verinnerlichen (aus Interesse an der Materie ansich =)

    Nun, folgendes Szenario:

    Du bist in einem LAN (Sterntopologie), in der Mitte ein Router geschalten, der die Pakete untereinander und auch die Anfragen nach außen weiterleitet (klar irgendwie, sonst kein LAN ^^)
    Nun möchte der User am PC A, Befehle auf PC B ausführen und seine Pakete abfangen!
    Nun hat er es mir so erklärt, dass es Sekundäre Systemprotokolle und Primäre gibt.
    Also erste Frage:
    In google finde ich leider nichts dazu, was ist der Unterschied zwischen Primären/Sekundären Systemprotokollen (ähnlich wie bei NW-Protokollen UDP und TCP Unterscheidung???)
    Dann hat er gesagt, dass das System die OS-Protokolle erst einmal in NW-Protokolle umwandelt (klar irgendwie) und das die Umleitung von NW in OS-Protokolle (sofern keine Hardware-Firewall davor) automatisch basiert (das System könnte ja sonst damit nicht umgehen oder)
    Nun hat er mir weiters erklärt, dass er eine "Ghost-IP" Adresse angenommen hat und diese die vom Router war!
    Frage: Was kann man sich unter Ghost-IP vorstellen (ähnlich wie Bridget-NW bei Virtuellen Maschinen?) und das er so direkt die Protokolle vom PC B empfangen hat und gleichzeitig auch direkt Protokolle an ihn senden konnte (der Router muss ja mit PC B kommunizieren)!
    Nur irgendwie muss er dann ja nur eine Kopie dieser Protokolle erhalten, sonst kommt PC B ja garnicht mehr ins Netz wenn alles über PC A geht (da er ja nicht weiterleiten kann) und das würde ja auffallen! Nun, wenn man dies einmal geschafft hat, ist es nurnoch OS, Befehls und Programmierkenntnis, um sozusagen Schadsoftware auf dem entsprechenden PC auszuführen (was mich auch nicht interessiert)!
    Mein Verständniss ist diesbezüglich immer noch ziemlich seicht, vor allem da das Gespräch nach 3 Stunden dementsprechend ansprechend war (v.A. für mich, da ich zwar eine solide Wissensbasis habe, jedoch das meinen Horizont weit übersteigt ^^)

    Ich habe es in diesem Forum gepostet, da ich hier am ehesten Hoffe auf entsprechend gute Informatiker zu treffen, die mir das Hintergrundwissen vermitteln können da ich dies nur zu gern wissen möchte! Ich finde anhand solcher Beispiele kann man am besten verstehen, wie das System arbeitet und was überhaupt gespielt wird wenn man z.B. einen einfachen Ping ausführt!

    mfg trunksen
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. maxix

    maxix Eroberer

    Dabei seit:
    16.03.2006
    Beiträge:
    74
    Zustimmungen:
    0
    Diesen Text findest Du vielleicht spannend: http://www.tecchannel.de/netzwerk/lan/402460/arp_grundlagen_und_spoofing/index5.html

    Grundsätzlich gibt es verschiedene Möglichkeiten, ich versuche mal deine obige "ghost IP" mit einem Beispiel zu versehen:

    Router: 10.22.33.1 MAC: 00:00:00:AA:BB:CC
    PC A: 10.22.33.5 MAC: 00:00:E3:44:34:54
    PC B: 10.22.33.9 MAC: 00:00:64:2E:5A:D3
    Der Bösewicht: im Netz: MAC: 00:EE:A3:56:56:95

    sodele: Damit PC A kommunizeren kann, schickt er vorher einen Broadcast in das Netzwerk und fragt: Welche MAC gehört zu der IP des Routers.

    Wenn PC A mit dem Router kommuniziert, findet er bei Eingabe von ARP-A die richtige MAC entweder wie eben beschrieben durch Broadcast oder durch einen Blick in seinen ARP-Cache heraus: MAC....:CC

    Was der Bösewicht tut: er schickt falsche informationen an den PC A. Er behauptet einfach das Ihm die MAC Adresse des Routers gehört.
    (Siehe Abbildung hier: http://www.tecchannel.de/netzwerk/lan/402460/arp_grundlagen_und_spoofing/index4.html )

    Was danach passiert:
    Rechner A: schickt nun die Pakete nicht mehr an den Router sondern an die MAC Adresse des Bösewichtes.
    Dieser sorgt nun dafür das die Pakete an die echte MAC (des Router) weitergeleitet wird. Die Rückpakete landen wieder beim Bösewicht, der sie brav an PC A ausliefert.
    Es gibt einige nette Tools (Ich glaube die sind nach dem neuen Hackerparagraphen in Deutschland IMHO nicht mehr zulässig *feix*), die die Pakete bei der Gelegenheit nicht nur mit schneiden, sondern auch gleich noch verfälschen / abändern können.
     
  4. #3 T-One, 11.12.2008
    Zuletzt bearbeitet: 11.12.2008
    T-One

    T-One Routinier

    Dabei seit:
    14.10.2008
    Beiträge:
    478
    Zustimmungen:
    3
    Ort:
    Österreich
  5. #4 trunksen, 13.12.2008
    trunksen

    trunksen Doppel-As

    Dabei seit:
    13.10.2006
    Beiträge:
    139
    Zustimmungen:
    0
    Ort:
    Österreich, Steiermark
    Hi!

    Ok, danke einmal beiden für die Links, dass sind genau die Informationen die ich gesucht habe ^^ (auch wenn ich das mit den Systemprotokollen immer noch nicht ganz verstehe....)
    Das ebook scheint auch ganz interessant zu sein (O'reilly hat anscheinend sehr viele gute Bücher zum Thema Informatik!)
    Habe zur Zeit leider relativ viel zu tun und kann mich daher nicht genauer in die Materie einlesen, jedoch trotzdem einmal danke!!

    mfg trunksen
     
  6. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

man in the middle attack (kein HOWTO, sondern Verständniss)

Die Seite wird geladen...

man in the middle attack (kein HOWTO, sondern Verständniss) - Ähnliche Themen

  1. Secret Diaries of Middle Earth

    Secret Diaries of Middle Earth: http://home.nyu.edu/~amw243/diaries/ Einfach genial :)
  2. Linux-Botnetz fährt 20 DDoS-Attacken täglich

    Linux-Botnetz fährt 20 DDoS-Attacken täglich: Von einem Botnetz aus Linux-Rechnern werden derzeit täglich rund zwanzig Webseiten mit DDoS-Attacken überzogen, wobei teilweise bis zu 150 Gbps an...
  3. THC-IPv6 Attack Tool 2.1

    THC-IPv6 Attack Tool 2.1: THC-IPv6 is a toolkit that attacks the inherent protocol weaknesses of IPv6 and ICMP6 and it includes an easy to use packet factory library....
  4. THC-IPv6 Attack Tool 2.1

    THC-IPv6 Attack Tool 2.1: THC-IPv6 is a toolkit that attacks the inherent protocol weaknesses of IPv6 and ICMP6 and it includes an easy to use packet factory library....
  5. THC-IPV6 Attack Tool 2.0

    THC-IPV6 Attack Tool 2.0: THC-IPV6 is a toolkit that attacks the inherent protocol weaknesses of IPv6 and ICMP6 and it includes an easy to use packet factory library....