[HaBo]

v01d

Anzeige

grade probiert:

ich hab hier 3 rechner an nem switch hängen.
rechner 1 kommuniziert mit rechner 2 => rechner 3 kriegt nix mit
jetzt schickt rechner 3 an rechner 1 nen arp-reply "rechner 2 is at ff:ff:ff:ff:ff:ff"
rechner 1 (windows XP) akzeptiert das und broadcastet alle pakete.
firewall (sygate) akzeptiert das.

ich weiß dass man sowas arp-spoofing nennt und dass es das schon ewig gibt, nur warum machen sich alle programme die mühe und addressieren nur einen rechner und forwarden den traffic anstatt dass sie viel unauffälliger bleiben indem sie einfach den traffic broadcasten zu lassen. so fällt dann auch die geschwindigkeit nicht auf.
außerdem kann nicht herausgefunden werden, wer denn da mitliest, da ja die broadcastmac angegeben wird (jaja kann man ändern, trotzdem).
und meine firewall am rechner sagt auch nix und lässt es zu.

also wieso der aufwand?

silenced

Ich nehme an, weil du damit in größeren Netzwerken (mehr als 3 Rechner) den Switch ganz schnell in die Knie zwingst bzw zu einem Hub "umbaust" :-)

lg

TUX$

Hallo v01d,

ich nenne das broadcasting ;o). Der Sinn des ARP-Spoofings ist ja, nicht bemerkt zu werden.
Andere Vorgehensweise:
1. Du kennst den Verkehr zwischen 1 & 2 z.B. PC zum Router
2. Du trägst die MAC Adresse des Routers auf der NIC von Rechner 3 ein
3. Du trägst die MAC Adresse des PCs 2 als forward NIC auf Rechner 3 ein, damit die Antworten auch über PC 3 laufen.
-- Vorbereitung fertig --
Du schickst ein modifiziertes ICMP Paket ( z.B. Typ 3Code 4 ) an den PC1 sollte eine Verbindung noch bestehen ist diese somit beendet.

Der anfängliche Broadcast ist dafür gedacht, daß der Switch seine MAC Tabelle neu schreiben muß und er danach PC3 für den Router hält.

Und Du bist unauffällig.
Ein Rechner der ständig Broadcasts sendet fällt immer als erstes auf.

Gruß TUX$

v01d

dass ich in nem netz mit viel traffic ganz schnell auffalle, ist klar.
aber in nem kleinen netz mit ein paar hosts ist es doch viel unauffälliger wenn ich ein paket zu z.b. 5 rechnern broadcaste (alle ports werden einfach belastet), als wenn ich den traffic zwischen zwei hosts empfange und wieder weiterleiten muss (=> der port des sniffers wird doppelt belastet).

Gulliver

@v0id

Nicht alle Maschinen antworten auf broadcasts (modernere wins zb)
Damit kann man mehr aerger machen als es nuetzt.

naked_chef

arp-spoofing sollte bei aktuellen systemen nicht mehr möglich sein, weil :

das system bekommt ein arp- replay ohne einen request abgesetzt zu haben, anhand dieser tatsache verwerfen viele moderen betriebssysteme diese pakete und es gibt keine einträge in die arp-tabelle.
bei dir hat es warscheinlich nur funktioniert weil du eine broadcast adresse verwendet hast, anstatt den verkehr nur über einen host zu lenken.

du hast zwar arp-spoofing betrieben, aber auf eine sehr rabiate art und weise!
weil dan die gesammte kommunikation als broadcast läuft und das auf die allgemeine netzlast geht und man damit leicht entdeckt werden könnte.
wie meine vorgänger schon schrieben würde es in großen bzw. guten netzwerken sofort auffallen.

ein IDS ist in diesem Fall dein größter feind.
den es würde auffallen das ohne request ein replay kommt und dies würde entsprechende systeme helhörig werden lassen.

v01d

naja kommt halt drauf an wieviel traffic der rechner erzeugt. wenn nur ab und zu ein paar mb http traffic gebroadcastet wird fällt das in nem kleinen netz kaum auf wie wenn der rechner als server fungiert.
hmm. winxp scheint kein aktuelles betriebssystem zu sein, denn hier gehts noch

naja also meine fragen sind alle beanwortet, thx nochmal an alle poster!

x4nny

Hallo TUX$

Das hat jetzt zwar nichts mit der eigentlichen Frage des Threaderstellers zu tun, aber ich frage jetzt trotzdem mal:
Wie kann ich ein Paket modifizieren? Und was für eine Fehlermeldung bewirkt ein Paket mit 3 und 4?
Und was hat das mit dem forward NIC auf sich? Leider finde ich keine brauchbaren Informationen zu diesem Thema.

cr

Dann bringst du das System ebend dazu einen arp-request zu senden, sollte doch nu wirklich nicht so schwer sein

Gulliver

Kann es sein das ihr boradcasting (und broadcast adressen) mit "an-alle-schicken" verwechselt?

v01d

naja wenn man n paket an die broadcastadresse schickt wirds gebroadcastet also praktisch "an-alle-(im subnetz)-geschickt".
ist doch so, right?

TUX$

Hallo x4nny,

zu Deiner Frage.
Das beschrieben ICMP Paket war nur ein Beispiel. Ziel ist es, daß mit einem solchen Paket eine Meldung wie Zielhost nicht erreichbar an den Sender geschickt wird. Dieser bricht die Verbindung dann sofort ab. Ein sehr umfangreiches Tool ist hping. Mit dem übrigens auch zu Diagnosezwecken ;o) TCP pakete gebaut werden
können, falls bestimmte Geräte nicht auf einen klassischen Ping antworten wollen.


Die Weiterleitung auf die 2. NIC ist notwendig, da es ja Ziel war, unbemerkt am Datenaustausch teilzunehmen ;o) das alle " umgeleiteten Pakete trotzdem ihr
Ziel erreichen müssen sie auch zum tatsächlichen Ziel weitergeleitet werden.

Gruß
TUX$

Mondi

Korrigier mich bitte wenn ich falsch liege aber ist es nicht sogar in der RFC826 spezifiziert dass das System ein ARP-replay annimmt ohne einen ARP-request abgesetzt zu haben?

Hab das grade ma mit einem XP Pro SP2 Client probiert bei dem alle verfügbaren Updates eingesielt sind. Hat einwandfrei geklappt. Wie das bei Vista aussieht weis ich nicht, das kann ich hier leider nicht testen würde mich aber ma interessieren. Und Leute die Linux laufen haben sind meint intelligent genug ein Tool laufen zulassen das das unaufgeforderte ändern der ARP einträge meldet.

naked_chef

Dieses RFC ist nicht mehr das neuste...
es wurde geupdatet. da es eine sicherheitslücke birgt.
da ich nicht mit windows arbeite konnte ich nicht sagen ob es bei windows funktioniert, ich berief mich auf eine aussage von meinem dozenten, dass es bei aktuellen OS wohl nicht möglich sei.
eventuell versucht microsoft dann an anderen stellen einen MITMA zu erkennen und zu verhindern.
(kann ich zumindestfür windows-user nur hoffen...)

v01d

nee. winxp akzeptiert arp replies ohne request. linux akzeptierts meiner erfahrung nach nicht.
und selbst wenn windows es irgendwann mal ignorieren würde. ein SYN paket mit gefaketem absender und JEDES system macht (sofern die adresse noch nicht im arp cache drin ist) nen arp request nach der source-addresse. jetzt muss man nur noch schneller sein als der richtige host.