[HaBo]

Serow · 29.11.08, 12:21

Hi,

Ich hoffe ich verstoße damit jetzt nicht gegen irgendwelche Board-Regeln. Ich versuche gerade in einem kleinen Aufbau eine Man-in-the-Middle Attacke zu basteln.

Wenn ich das richtig verstanden habe ist das Vorgehen doch folgendes:

DHCP Server aufsetzen und so konfigurieren, dass er IPs und Gateway Informationen verteilt. Dabei gibt man den eigenen Rechner als Gateway und muss ihn natürlich so konfigurieren, dass er auch wirklich routet, damit das "Opfter" weiterhin wie gewohnt surfen kann. Nur mit dem unterschied, dass man jetzt selbst das Gateway des "Opfers" ist und somit allen Traffic abbekommt - soweit richtig?

Hier meine Situation:

Opfer-Rechner hat WLAN und geht normalerweise über 192.168.2.1 ins Internet (T-Online Router Speedport irgendwas). Der DHCP auf dem Speedport vergibt IPs zwischen 192.168.2.10-20 und 192.168.2.1 als Gateway (also er selbst ist das Gateway).

Hänge mit meinem PC im selben WLAN und habe jetzt einen DHCP Server aufgesetzt:

Code:

apt-get install dhcp3-server

mit folgender Konfiguration:

Code:

ddns-update-style none;

option domain-name "WLAN";
option domain-name-servers 192.168.2.1;

default-lease-time 6000;
max-lease-time 72000;

log-facility local7;

subnet 192.168.2.0 netmask 255.255.255.0 {
  range 192.168.2.240 192.168.2.254;
  option domain-name-servers 192.168.2.1;
  option domain-name "WLAN";
  option routers 192.168.2.16;
  option broadcast-address 192.168.2.255;
  default-lease-time 6000;
  max-lease-time 72000;
}

Die 192.168.2.16 ist die IP die mir vom Speedport zugewiesen wurde und die ja jetzt das Gateway für den "Opfer-Rechner" werden soll.

Jetzt habe ich mir per SSH auf dem Rechner eingeloggt und per

Code:

sudo dhclient wlan0

die IP addresse erneuern lassen.

Code:

mathias@andi-ubuntu:~$ ifconfig wlan0
wlan0     Link encap:Ethernet  Hardware Adresse 00:0e:2e:d1:c0:f6  
          inet Adresse:192.168.2.13  Bcast:192.168.2.255  Maske:255.255.255.0
          inet6-Adresse: fe80::20e:2eff:fed1:c0f6/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2337 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1765 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:1657942 (1.5 MB)  TX bytes:255527 (249.5 KB)

mathias@andi-ubuntu:~$ clear

mathias@andi-ubuntu:~$ ifconfig wlan0
wlan0     Link encap:Ethernet  Hardware Adresse 00:0e:2e:d1:c0:f6  
          inet Adresse:192.168.2.13  Bcast:192.168.2.255  Maske:255.255.255.0
          inet6-Adresse: fe80::20e:2eff:fed1:c0f6/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2361 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1780 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:1659958 (1.5 MB)  TX bytes:258131 (252.0 KB)

mathias@andi-ubuntu:~$ sudo dhclient wlan0
[sudo] password for mathias: 
There is already a pid file /var/run/dhclient.pid with pid 7590
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.0.6
Copyright 2004-2007 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

wmaster0: unknown hardware address type 801
wmaster0: unknown hardware address type 801
Listening on LPF/wlan0/00:0e:2e:d1:c0:f6
Sending on   LPF/wlan0/00:0e:2e:d1:c0:f6
Sending on   Socket/fallback
DHCPREQUEST of 192.168.2.13 on wlan0 to 255.255.255.255 port 67
DHCPACK of 192.168.2.13 from 192.168.2.1
bound to 192.168.2.13 -- renewal in 476175 seconds.
mathias@andi-ubuntu:~$

Man sieht er bekommt die gleiche IP wieder und zwar nicht von mir sondern vom alten DHCP Server, denn mein syslog sieht so aus:

Code:

mathias@apprentice:~$ sudo tail -f -n 0 /var/log/syslog
[sudo] password for mathias: 
Nov 29 12:17:38 apprentice dhcpd: DHCPREQUEST for 192.168.2.13 from 00:0e:2e:d1:c0:f6 via wlan0: unknown lease 192.168.2.13.
Nov 29 12:21:13 apprentice dhcpd: DHCPINFORM from 192.168.2.15 via wlan0: not authoritative for subnet 192.168.2.0

Ich empfange also den DHCPREQUEST. Heisst das, dass mein Rechner einfach nicht schnell genug ist im Addressen verteilen? Falls das so ist: Wie kann ich das beschleunigen?

Also wie gesagt: Wenn das mit Boardregeln nicht in Ordnung geht einfach löschen und mir per PN bescheid sagen

ciao
serow

**bitmuncher** · 29.11.08, 15:13

Der Rechner wird immer den AP als Gateway benutzen solange du deinen Rechner nicht als AP nutzt, was dann aber einige Probleme mehr mitbringt, weil 2 AP, die die gleiche ESSID rausgeben sich definitiv in die Quere kommen. Entsprechend wird er auch den DHCP-Server auf dem GW bevorzugen.

Anzeige

- Anzeige -

Serow · 29.11.08, 15:15

Hmm Misst.

Irgendwie muss das doch trotzdem gehen ...

**bitmuncher** · 29.11.08, 16:21

Tut es auch, aber dazu solltest du dich mit TCP-HiJacking, Packet-Injection und der Funktionsweise von DHCP etwas intensiver auseinandersetzen.

prEs · 29.11.08, 16:30

http://zensiert

Glaub da sind relativ viele .pdf's zu MITM dabei .

ModEdit: Bitte keine Anleitungen hier reinstellen.

Anzeige

- Anzeige -

29.11.08, 15:13	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Der Rechner wird immer den AP als Gateway benutzen solange du deinen Rechner nicht als AP nutzt, was dann aber einige Probleme mehr mitbringt, weil 2 AP, die die gleiche ESSID rausgeben sich definitiv in die Quere kommen. Entsprechend wird er auch den DHCP-Server auf dem GW bevorzugen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

29.11.08, 16:21	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Tut es auch, aber dazu solltest du dich mit TCP-HiJacking, Packet-Injection und der Funktionsweise von DHCP etwas intensiver auseinandersetzen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Man in the middle	digted	(In)security allgemein	8	09.01.09 18:27
Schutz gegen man-in-the-middle-attack	Bogus	(In)security allgemein	35	27.06.08 23:49
Ist es möglich sich als man in the middle zusetzen?	0wnZ	(In)security allgemein	1	04.07.06 01:01
Man in the Middle ?	Tullamore	(In)security allgemein	8	08.01.06 16:32

29.11.08, 15:15	#3 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Hmm Misst. Irgendwie muss das doch trotzdem gehen ...

29.11.08, 16:30	#5 (permalink)
prEs Registriert seit: 20.11.08 Likes: 0	http://zensiert Glaub da sind relativ viele .pdf's zu MITM dabei . ModEdit: Bitte keine Anleitungen hier reinstellen.

[HaBo]

DHCP + Man in the Middle