PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sniffer - Verständnisfrage



pinky
12.09.2007, 00:32
Hallo,
ich habe gerade mal wieder so eine TV-Reportage gesehen in der gezeigt wird wie unsicher WLAN oft ist. Dazu sind sie in ein Kaffee gegangen, dass einen WLAN Hotspot angeboten hatte und dann haben sie fleißig Passwörter von Email Konten gesammelt.

Wie geht das? Das wird doch mit einem Sniffer gemacht? Ich habe hier auf meinen PCs auch schon mit wireshark rumgespielt. Da bekomme ich aber nur den Traffic von meinem PC angezeigt, ist ja auch klar, mein Notebook wird ja vom Switch direkt zum DSL Modem weitergeleitet. Die Pakete vom Notebook kommen bei meinem PC also garnicht vorbei.

Wie machen die das dann in diesem Kaffee. Dort wandern die Pakete doch auch nicht von Computer zu Computer sondern werden von den Routern/Switchs auch direkt mit dem richtigen Ziel verbunden. Die Pakete mit dem Passwort usw. sollten doch eigentlich nie am Laptop der TV-Reportage vorbei kommen.

Wo liegt mein Denkfehler so spät in der Nacht?

caba_
12.09.2007, 00:35
Kommt drauf an. Bei einem HUB werden die Pakete erstmal an alle PCs gesendet. Nur die anderen PCs warten nicht auf die Pakete und werden daher einfach wegeworfen. Daher ist ein Switch merkt sich wo welche pakete hingehören und ist daher "erstmal sicherer"...

Bei switches gibts dann die möglichkeiten von ARP-Spoofing, ICMP Redirects, DHCP Spoofing oder MAC-Flooding.
Dann geht das auch.

MFG Manuel

P.S.: WoW, ich habe mal wieder nen konstruktiven beitrag geschrieben :D

pinky
12.09.2007, 00:38
Meine erste Idee war auch "verwenden die da noch Hubs?" Konnte mir das aber nicht vorstellen. Jeder normale WLAN Router den man heute so bekommt ist doch ein Switch, oder? Hubs sind doch eigentlich (auf dem Markt) ausgestorben.

Oder liegt das Geheimnis am WLAN, dass quasi dadurch die Pakete unkontrolliert durch die Luft fliegen und auch unkontrolliert mal bei den anderen PCs "Hallo" sagen, bis sie die Antenne des Routers finden?

Ticha
12.09.2007, 00:41
naja ich will hoffen dir geht es hier "nur" ums prinzip ;) Da das aussniffen von Passwörtern ist illegal ;)... naja im grunde eigentlich nur wenn du dich mit dem einloggst. Aber trotzdem :D

pinky
12.09.2007, 00:45
naja ich will hoffen dir geht es hier "nur" ums prinzip ;) Da das aussniffen von Passwörtern ist illegal ;)... naja im grunde eigentlich nur wenn du dich mit dem einloggst. Aber trotzdem :D

Bei dem "nur" kannst du ruhig die Anführungsstriche weglassen. Ich habe wirklich keinen Bock mich in irgendein Kaffee zu setzen und irgendwelche Email Passwörter zu sammeln. Da habe ich wirklich besseres zu tun.

Mich würde halt nur interessieren wie das prinzipiell überhaupt möglich ist.

PS: Der der den Test gemacht hat hat, wenn ich das richtig gesehen habe, Ubuntu verwendet und die Ausgabe hat schon ziemlich stark der von wireshark geähnelt. Also müsste es ja eigentlich mit dieser Technik gehen, aber wie?

caba_
12.09.2007, 00:47
Nein. Switches sind teurer als Hubs. Die meisten "Hardware-Router" die man(n) von seinem Provider bekommt sind eingebaute Hubs (glaub ich).

Bei W-Lan geht das wie bei Switches.
Ich kann dir da z.b. "Catching the Air stuff" von meinem "ghedd0 nigg0r br0ther xaitax (</insider>)" ans herz legen.

Habs mal angehängt

P.S. Ich habe auch noch en Hub. Weil der 16-Port Switch sich für 5 PCs nicht lohnt ;( Dabei is das so ne schöne Diskothek wenn der mal anfängt zu blinken :D

pinky
12.09.2007, 00:57
Habs mal angehängt


Ich hab das gerade überflogen, ehrlich gesagt glaube ich nicht, dass da das drin steht was ich suche...

wrd
12.09.2007, 01:57
also nur mal ein kurzes kommentar.

ich denke das ist so gemeint.
sie gehen in ein cafe und haben den schluessel von dem w(ireless)lan nicht und es ist nur mit wep verschluesselt.

http://www.tuto-fr.com/tutoriaux/crack-wep/fichiers/videos/video-crack-wep-devine.php

hier ein video anleitung wie man wep knackt. da es ohnehin unsicher ist und die ganze welt bereits bescheid weiss wie sowas funktioniert denke ich ist es nichts schlimmes wenn ich das hier jetzt poste. aber bedenke es ist illegal aber wenn du einen wlan router zuhause hast, sollte es kein problem das selbst auszuprobieren und sehen und staunen.

heutzutage werden kaum noch hubs verkauf,t selbst die meisten router sind switches.

aber wenn man die arp tabelle mit eintraegen ueberflutet wird aus jedem switch ein hub. (das kann man mit ettercap machen)

und was ist der unterschied zwischen switch und hub?
bei einem hub werden alle pakete die ins netzwerkgeschickt an alle teilnehmer geschickt und die netzwerkkarten (!!) leiten nur diejenigen pakete weiter, die passende mac adresse traegt.

wenn man die netzwerkkarte in den Promiscuous Mode setzt, empfaengt linux all das. ([root]# ifconfig eth0 promisc)

und bei wlan ist brauchst du ettercap gar nicht weil ja alles durch den aether geschickt wird.

pinky
12.09.2007, 02:12
ich denke das ist so gemeint.
sie gehen in ein cafe und haben den schluessel von dem w(ireless)lan nicht und es ist nur mit wep verschluesselt.

Nein, sie haben ganz normal und legal Zugang zum Netz des Cafe's. Nur dann Sniffen sie eben den Netzwerktraffic der anderen Gäste und sehen z.B. Passwörter wenn sie sich bei einem Webmailer anmelden, wenn sie die Seite mit http und nicht mit https aufgerufen haben.

Wie auch schon gesagt, wenn mich nicht alles täuscht, haben sie das ganze mit wireshark gemacht (oder mit einem Sniffer der dem verdammt ähnlich sieht).



und bei wlan ist brauchst du ettercap gar nicht weil ja alles durch den aether geschickt wird.


Dann ist das wohl so wie ich schon vermutet habe:



Oder liegt das Geheimnis am WLAN, dass quasi dadurch die Pakete unkontrolliert durch die Luft fliegen und auch unkontrolliert mal bei den anderen PCs "Hallo" sagen, bis sie die Antenne des Routers finden?

richtig?

SkydiverBS
12.09.2007, 08:12
richtig?

Richtig! Ein WLAN ist vom Prinzip her wie ein Hub: Jeder Teilnehmer empfängt die gesamte Kommunikation die über das Funknetzwerk läuft. Die WLAN-Karte nimmt üblicherweise nur die Pakete an, die für den jeweiligen Rechner gedacht sind. Um alle zu empfangen, muss man die WLAN-Karte in den Monitor-Mode versetzten und kann dann einen Sniffer verwenden, um die Kommunikation mitzuhören (siehe WLAN-Sniffer (http://de.wikipedia.org/wiki/WLAN-Sniffer)).

Man kann sich selbst nur über die Verwendung von verschlüsselten Protokollen, wie HTTPS und POP3S, dagegen schützen. Der Anbieter eines WLANs kann seine Benutzer schützen, indem er ein Protokoll des Extensible Authentication Protocol (http://de.wikipedia.org/wiki/Extensible_Authentication_Protocol) verwendet, z.B. EAP-TLS (http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS) oder EAP-TTLS (http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TTLS). Bei diesen beiden Protokollen wird für jeden Benutzer ein TLS (http://de.wikipedia.org/wiki/Transport_Layer_Security)-Tunnel aufgebaut, den nur er benutzt und der die gesamte Kommunikation verschlüsselt. Allerdings ist die Realisierung dieser Methode relativ aufwendig.

Gruß,
Philip

caba_
12.09.2007, 12:18
Anhand der technik die in meinem anhang steht kannst du ungefähr rauslesen wie es funktioniert.
Aber eigentlich ist das hier ja schon geklärt mittlerweile.

Nemesis
12.09.2007, 12:37
im wlan ist es schnurz an wen die packete adressiert sind, jeder kann sie "mitlesen" das geht bei einem switch nicht, denn der sendet sie nur an die adresse für die sie bestimmt sind (siehe ARP-Tabellen). bei wlan gibts den monitor-mode und den promiscuous-mode, dort zeichnet deine karte alles auf, was durch die luft fliegt, ob es an deine karte adressiert ist oder nicht.
wep/wpa/wpa2... hat damit garnichts zu tun, den verschlüsselt wird nur der zugang, nicht aber die übertragung.

mfg,
nemesis

kuaza
12.09.2007, 12:39
gibt es eigentlich auch eine Möglichkeit wie man wenn ein Router WLAN und LAN unterstützt beides gleichzeitig zu sniffen?

blur
12.09.2007, 12:44
Ja. Du muss in beiden Netzen hängen :D

Gruß
Blur

sinn3r
12.09.2007, 12:46
gibt es eigentlich auch eine Möglichkeit wie man wenn ein Router WLAN und LAN unterstützt beides gleichzeitig zu sniffen?

klar, einfach im sniffer einstellen...

kuaza
12.09.2007, 12:51
wenn ich zb bei ettercap eine Man-In-The_Middle Attacke starte dann hört ich den gesamten Verkehr ab (LAN, WLAN), richtig?

ps: ich interessiere mich extrem für IT-Sicherheit und will dieses wissen nur zu meinem Schutz anwenden und nicht um andere Systeme attackieren!

blur
14.09.2007, 07:25
wenn ich zb bei ettercap eine Man-In-The_Middle Attacke starte dann hört ich den gesamten Verkehr ab (LAN, WLAN), richtig?

Wenn das Komma ein oder darstellen soll, dann ja.



ps: ich interessiere mich extrem für IT-Sicherheit und will dieses wissen nur zu meinem Schutz anwenden und nicht um andere Systeme attackieren!

Dafür stellst Du die falschen Fragen.

Gruß
Blur