Netzwerksniffen mit tcpdump

Dieses Thema im Forum "Security Talk" wurde erstellt von toor, 23.11.2006.

  1. toor

    toor Jungspund

    Dabei seit:
    23.11.2006
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo liebe Unixboard Community

    Ich führe in letzter Zeit Test zu lokalen Netzwerken durch um ein
    wenig mehr über die Vorgängen und wichtigen Programmen in Erfahrung
    zu bringen. So hab ich mich letzten einmal mit Netzwerksniffing
    befasst. Nach anfänglichem erstaunen, merke ich doch bald das sich
    für mich mit den erfassten Daten wenig anfangen lässt. So ergab sich
    einige Fragen bei den ich Hilfe bräuchte.

    Erstmal ein paar Daten.

    Das Test-Netzwerk besteht aus 3 Rechnern.
    Welche mit Ubuntu Linux, Windows XP und Knoppix Linux ausgestattet
    sind.
    Auf dem Windows Rechner ist ein telnet Server installiert, da es so
    weit ich das erfahren habe in einem telnet Netzwerk keine
    Verschlüsslung gibt.
    Der Knoppix Rechner dient als Client zu dem Windows Rechner.
    Der Ubuntu Rechner wird als Überwacher eingesetzt.

    Der Versuch
    Der Knoppix Rechner soll sich auf dem Windows Rechner verbinden.
    Der Ubuntu Rechner soll dabei die Daten die auf dem Emfangsport des
    telnet Server ein und ausgehen protokollieren und auswerten.

    So weit die Theorie, in der Praxis kann ich mit den Protokollierten
    Dateien nicht viel anfangen. In einem Test starte ich tcpdump wie
    folgt: tcpdump port 23 -n -X
    und tippte auf dem telnet client "hallo" ein. Das brachte mir eine
    Ausgabe die 25 Zeilen pro Buchstabe lang war. Wobei in der 5 jeweils
    der Buchstabe war.
    Nach Suche nach besseren Auswertmöglichkeiten setze ich tcptracer ein
    um die Daten besser auswerten zu können. Nur dieses Tat entweder
    nicht viel oder das falsche. Da die Option mir sehr undurchsichtig
    erscheinen, bräuchte ich etwas Hilfe zu tcpdump tcptrace.

    Gibt es Optionen die mir die Ausgabe von tcpdump einwenig klarer da
    stellen?
    Welche Information kann mir tcptracer gesondert ausgeben und wie
    heißen die dazu benötigten Optionen?
    Kann mir tcptracer auch schlicht den Text ausgeben den ich in telnet
    eingebe?
    Sind tcpdump und tcptracer überhaupt dafür geeignet?
    Kann man eigentlich gegen das mitsniffen von Daten überhaupt was tun
    außer Verschlüsslung?
    Gibt es Firewalls die in einem lokalen Netzwerk so etwas erkennen
    könnten?

    Und eigentlich das wichtigste: Wo finde ich dazu genaue HOWTOs in
    Deutsch, und wenn ihr schon dabei seid könnte ihr mich auch gerne
    weitere Links zu HOWTOs geben die euch zum Thema Netzwerk, Netzwerk
    Sicherheit, Sicherheit von Samba Servern, Iptables einfallen.

    Noch zum Schluss: Um die richtige Hilfe zu finde muss man auch ersten
    ihren Namen kennen so konnte ich mit den Suchergebnissen bei google
    nicht viel anfangen, die meisten Howto die ich dort finden konnte,
    befassen sich nur kurz mit dem Thema und da tcp etc. in vielen Foren
    steht war auch die Qualität der Ergebnisse allgemein dürftig. Die Man
    pages helfen einen zwar doch sind sie zu sehr zusammen gefasst um
    wenn man wie ich nicht viel von derartigen Prozessen versteht sich
    damit zurecht zu finden.

    Mit freundlich Grüßen
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 23.11.2006
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Also ich gehe jetzt mal nur auf ein paar der Fragen ein:

    Ja, es gibt auch Software die Sniffer aufspüren, zumindest theoretisch.

    Das Sniffen in geswitchten Netzwerken, ist z.B. an sich schon sehr schwierig, da Daten nur an den Rechner gesendet werden, der auch wirklich der Empfänger ist.
    Um auch diese Daten auf dem sniffenden Rechner zu empfangen, gibt es verschiedene Verfahren, Stichwort ARP-Flooding, bei dem du versuchst mit sehr vielen verschiedenen MAC-Adressen den SAT den Routers zu flooden so das er in den failopen-mode schaltet.

    Aber das würde jetzt zu weit führen das alles ausführlich zu erklären, google hilft.

    Der Punkt ist:

    Wenn du wissen willst, was du gegen Sniffen tun kannst, musst du erst mal wissen, was man alles tun muss / kann um überhaupt zu sniffen.
     
  4. #3 factorx, 23.11.2006
    factorx

    factorx Tripel-As

    Dabei seit:
    12.10.2005
    Beiträge:
    227
    Zustimmungen:
    0
    Sniffen in geswitchten Netzwerken ist nicht viel schwieriger als in ungeswitchten auch. Abgesehen von der MAC-Flooding-Methode kann auch mit ARP-Cache-Poisoning gesnifft werden. Dabei handelt es sich um eine Man in the Middle-Attacke, wobei der Angreifer mit Hilfe der Manipulation seiner eigenen MAC-Adresse vorgibt, der eigentliche Kommunikationspartner zu sein. Stattdessen schneidet er den gesamten Netzwerkverkehr mit, und leitet ihn an den eigentlichen Empfänger weiter.

    Gegen diese Methode kannst du nichts tun, es gibt lediglich Programme, die derartige Attacken aufdecken, jedoch nicht verhindern.
     
  5. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Um den Output von tcpdump zu verstehen ist es erstmal notwendig, dass du dich damit auseinander setzt, wie TCP überhaupt funktioniert und wie Netzwerk-Pakete aufgebaut sind. Zur Funktionsweise hatte ich mal unter http://www.hackerwiki.org/index.php/TCP/IP eine Dokumentation veröffentlicht. Zum Aufbau eines Netzwerk-Pakets finden sich unter http://www.elektronik-kompendium.de/sites/net/0812271.htm ein paar Informationen. Wenn du das verstanden hast, sollte der Output von tcpdump etwas klarer sein. Ansonsten schau dir mal Snort an. Ist zwar eigentlich ein IDS, hat aber auch einen Sniffer-Modus, dessen Output ich wesentlich übersichtlicher finde als den von tcpdump. Auch etherreal produziert einen wesentlich übersichtlicheren Output.
     
  6. toor

    toor Jungspund

    Dabei seit:
    23.11.2006
    Beiträge:
    17
    Zustimmungen:
    0
    Vielen Dank für die schnell und hilfereichen Antworten.

    Mit freundlich Grüßen
     
Thema:

Netzwerksniffen mit tcpdump

Die Seite wird geladen...

Netzwerksniffen mit tcpdump - Ähnliche Themen

  1. SED und TCPDUMP

    SED und TCPDUMP: Hallo! Ich versuche einen TCPDUMP mit SED zu begrenzen und in die Datei test.txt zu schreiben. Leider läuft die Sache nich so recht bzw. die...
  2. Sniffen per Script: tcpdump

    Sniffen per Script: tcpdump: Guten Tag Ich möchte ein Netzwerk sniffen. Da der Dump mit der Zeit etwas gross ist, möchte ich ihn vor der Analyse mit Wireshark noch...
  3. tcpdump Rückgabe auswerten

    tcpdump Rückgabe auswerten: tcpdump Rückgabe auswerten --- Gelöst Hallo zusammen, erstmal danke für diese häufig hilfreichen Threads. Hat mir in meiner Linux / Unix...
  4. tcpdump.org dwon

    tcpdump.org dwon: http://www.tcpdump.org/ mh hat irgendjemand ne Ahnung/Informationen warum die Seite schon seit n paar Tagen down ist?
  5. Tcpdump snifft keine RTP-Pakete

    Tcpdump snifft keine RTP-Pakete: Hallo zusammen Versuche mit tcpdump die RTP Pakete aufzuzeichnen. Habe folgendes ausgeführt: tcpdump -w log.dump Anschliessend habe...