Netzwerksniffen mit tcpdump

T

toor

Jungspund
Hallo liebe Unixboard Community

Ich führe in letzter Zeit Test zu lokalen Netzwerken durch um ein
wenig mehr über die Vorgängen und wichtigen Programmen in Erfahrung
zu bringen. So hab ich mich letzten einmal mit Netzwerksniffing
befasst. Nach anfänglichem erstaunen, merke ich doch bald das sich
für mich mit den erfassten Daten wenig anfangen lässt. So ergab sich
einige Fragen bei den ich Hilfe bräuchte.

Erstmal ein paar Daten.

Das Test-Netzwerk besteht aus 3 Rechnern.
Welche mit Ubuntu Linux, Windows XP und Knoppix Linux ausgestattet
sind.
Auf dem Windows Rechner ist ein telnet Server installiert, da es so
weit ich das erfahren habe in einem telnet Netzwerk keine
Verschlüsslung gibt.
Der Knoppix Rechner dient als Client zu dem Windows Rechner.
Der Ubuntu Rechner wird als Überwacher eingesetzt.

Der Versuch
Der Knoppix Rechner soll sich auf dem Windows Rechner verbinden.
Der Ubuntu Rechner soll dabei die Daten die auf dem Emfangsport des
telnet Server ein und ausgehen protokollieren und auswerten.

So weit die Theorie, in der Praxis kann ich mit den Protokollierten
Dateien nicht viel anfangen. In einem Test starte ich tcpdump wie
folgt: tcpdump port 23 -n -X
und tippte auf dem telnet client "hallo" ein. Das brachte mir eine
Ausgabe die 25 Zeilen pro Buchstabe lang war. Wobei in der 5 jeweils
der Buchstabe war.
Nach Suche nach besseren Auswertmöglichkeiten setze ich tcptracer ein
um die Daten besser auswerten zu können. Nur dieses Tat entweder
nicht viel oder das falsche. Da die Option mir sehr undurchsichtig
erscheinen, bräuchte ich etwas Hilfe zu tcpdump tcptrace.

Gibt es Optionen die mir die Ausgabe von tcpdump einwenig klarer da
stellen?
Welche Information kann mir tcptracer gesondert ausgeben und wie
heißen die dazu benötigten Optionen?
Kann mir tcptracer auch schlicht den Text ausgeben den ich in telnet
eingebe?
Sind tcpdump und tcptracer überhaupt dafür geeignet?
Kann man eigentlich gegen das mitsniffen von Daten überhaupt was tun
außer Verschlüsslung?
Gibt es Firewalls die in einem lokalen Netzwerk so etwas erkennen
könnten?

Und eigentlich das wichtigste: Wo finde ich dazu genaue HOWTOs in
Deutsch, und wenn ihr schon dabei seid könnte ihr mich auch gerne
weitere Links zu HOWTOs geben die euch zum Thema Netzwerk, Netzwerk
Sicherheit, Sicherheit von Samba Servern, Iptables einfallen.

Noch zum Schluss: Um die richtige Hilfe zu finde muss man auch ersten
ihren Namen kennen so konnte ich mit den Suchergebnissen bei google
nicht viel anfangen, die meisten Howto die ich dort finden konnte,
befassen sich nur kurz mit dem Thema und da tcp etc. in vielen Foren
steht war auch die Qualität der Ergebnisse allgemein dürftig. Die Man
pages helfen einen zwar doch sind sie zu sehr zusammen gefasst um
wenn man wie ich nicht viel von derartigen Prozessen versteht sich
damit zurecht zu finden.

Mit freundlich Grüßen
 
S

supersucker

Foren Gott
Also ich gehe jetzt mal nur auf ein paar der Fragen ein:

Kann man eigentlich gegen das mitsniffen von Daten überhaupt was tun
außer Verschlüsslung?

Ja, es gibt auch Software die Sniffer aufspüren, zumindest theoretisch.

Das Sniffen in geswitchten Netzwerken, ist z.B. an sich schon sehr schwierig, da Daten nur an den Rechner gesendet werden, der auch wirklich der Empfänger ist.
Um auch diese Daten auf dem sniffenden Rechner zu empfangen, gibt es verschiedene Verfahren, Stichwort ARP-Flooding, bei dem du versuchst mit sehr vielen verschiedenen MAC-Adressen den SAT den Routers zu flooden so das er in den failopen-mode schaltet.

Aber das würde jetzt zu weit führen das alles ausführlich zu erklären, google hilft.

Der Punkt ist:

Wenn du wissen willst, was du gegen Sniffen tun kannst, musst du erst mal wissen, was man alles tun muss / kann um überhaupt zu sniffen.
 
factorx

factorx

Tripel-As
Das Sniffen in geswitchten Netzwerken, ist z.B. an sich schon sehr schwierig, da Daten nur an den Rechner gesendet werden, der auch wirklich der Empfänger ist.
Um auch diese Daten auf dem sniffenden Rechner zu empfangen, gibt es verschiedene Verfahren, Stichwort ARP-Flooding, bei dem du versuchst mit sehr vielen verschiedenen MAC-Adressen den SAT den Routers zu flooden so das er in den failopen-mode schaltet.

Sniffen in geswitchten Netzwerken ist nicht viel schwieriger als in ungeswitchten auch. Abgesehen von der MAC-Flooding-Methode kann auch mit ARP-Cache-Poisoning gesnifft werden. Dabei handelt es sich um eine Man in the Middle-Attacke, wobei der Angreifer mit Hilfe der Manipulation seiner eigenen MAC-Adresse vorgibt, der eigentliche Kommunikationspartner zu sein. Stattdessen schneidet er den gesamten Netzwerkverkehr mit, und leitet ihn an den eigentlichen Empfänger weiter.

Gegen diese Methode kannst du nichts tun, es gibt lediglich Programme, die derartige Attacken aufdecken, jedoch nicht verhindern.
 
theton

theton

Bitmuncher
Um den Output von tcpdump zu verstehen ist es erstmal notwendig, dass du dich damit auseinander setzt, wie TCP überhaupt funktioniert und wie Netzwerk-Pakete aufgebaut sind. Zur Funktionsweise hatte ich mal unter http://www.hackerwiki.org/index.php/TCP/IP eine Dokumentation veröffentlicht. Zum Aufbau eines Netzwerk-Pakets finden sich unter http://www.elektronik-kompendium.de/sites/net/0812271.htm ein paar Informationen. Wenn du das verstanden hast, sollte der Output von tcpdump etwas klarer sein. Ansonsten schau dir mal Snort an. Ist zwar eigentlich ein IDS, hat aber auch einen Sniffer-Modus, dessen Output ich wesentlich übersichtlicher finde als den von tcpdump. Auch etherreal produziert einen wesentlich übersichtlicheren Output.
 
T

toor

Jungspund
Vielen Dank für die schnell und hilfereichen Antworten.

Mit freundlich Grüßen
 

Ähnliche Themen

So, das wars nun endgültig mit Centos und Linux

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

CentOS 7 keine Netzwerkgeräte verfügbar

ganze Netzwerkumgebung schagartig unsichtbar - 0S 13.1

dhcp, arpwatch, flip-flop, iPhone

Sucheingaben

tcpdump ausgabe verstehen

,

tcpdump datum

,

tcpdump elektronikkompendium

,
tcpdump output verstehen
Oben