[HaBo]

digted · 09.01.09, 17:21

Hallo Geeks ;),

ich habe mich in letzter Zeit mit ARP-Spoofing beschäftigt, dabei bin ich immer wieder auf das Tool Cain & Able gestoßen. Damit ist das ganze natürlich sehr einfach, anklicken kann natürlich jeder. Ich würde gerne erfahren was das Programm genau macht. Also die MAC Adresse fälsche ist ja unter Unix kein Problem. Dennoch müssen natürlich die gesnifften Pakete weiter geroutet werden.

Dann habe ich mir gedacht ich könnte mit dem "route" Befehl, die Pakete weiterleiten. Beim Nachdenken ist mir dann allerdings eingefallen, wie soll ich die Pakete weiter routen, wenn ich zwei gleiche MAC Adressen in einem Netzwerk habe? Ist es nicht so, dass die weitergeleiteten Pakete wieder zu mir zurück kommen?

Oder greift hier sogar das TCP/IP Protokol? Dies würde ich allerdings ausschließen, weil es meines Wissens ja lokal eigentlich keine Rolle spielt.

Oder sollte ich meine ganze Logik nochmal überdenken ^^?

mfg

**Chromatin** · 09.01.09, 17:37

Zitat:

Oder sollte ich meine ganze Logik nochmal überdenken ^^?

jep

HaBo Ads

digted · 09.01.09, 17:42

Ja, nen Tipp wäre ganz hilfreich.

mu_ · 09.01.09, 17:57

Ein kleiner Denkanstoß: Wo fälscht du denn die MAC-Adresse?

**Elderan** · 09.01.09, 18:00

Hallo,
ergänzend zu mu_: Nochmal den Wikipedia Artikel zu ARP Spoofing genauer durchlesen.

Evt. auch ein paar Artikel wie denn im LAN der Zusammenhang zwischen MAC und IP ist. Dann evt. mal das Arp-Spoofing mir Wireshark o.ä. aufzeichen, um zu sehen, welche Packete so gesendet werden.

Serow · 09.01.09, 18:09

Wenn du die das OSI Layer Model mal anschaust, passiert Routing auf Layer 3, ARP auf Layer 2.

Code:

NAME
        route - show / manipulate the IP routing table

Der route Befehl erlaubt nur du Änderungen in der Routing Tabelle vorzunehmen. Die sollte aber schon korrekt aufgebaut sein, denn das wird für "directly connected network" automatisch gemacht. Entfernte Netzwerke kann man dann entweder manuell oder über routing protokolle in die tabelle reinkriege - hab ich aber in nem Heimnetzwerk noch nie gesehen.

Code:

mathias@wizard:~$ ip route show
192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.2 
169.254.0.0/16 dev eth0  scope link  metric 1000 
default via 192.168.2.1 dev eth0  metric 100 
mathias@wizard:~$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         localhost       0.0.0.0         UG    100    0        0 eth0
mathias@wizard:~$

Was du durch ARP Spoofing erreichst ist, dass PC1 ein Packet nach PC2 schickt, die Source und Destination IP auch richtig einträgt, aber als Destination MAC _deine_ in das Ethernet Frame schreibt. Daher leitet der Switch das Packet an dich weiter.

Sofern du ip forwarding auf deinem System aktiviert hast, wird das Packet automatich anhand der IP Adressen (Layer 3) geroutet - und wahrscheinlich sogar durch den gleichen Adapter durch den es gekommen ist, nur eben mit andere Destination MAC Addresse, sodass es beim richtigen Empfänger ankommt.

Ich denke / hoffe, dass ich jetzt gegen keine Boardregel verstoßen habe ... im Prinzip kann man das ja sogar bei Wikipedia nachlesen...

cu
serow

prEs · 09.01.09, 18:11

Ok ich bin einfach mal so frei.

Also
router = 192.168.178.1
attacker = 192.168.178.3
victim = 192.168.178.5

du schickst ein ARP-Packet an denn router,
bei diesem Packet wird die Source addresse mit der des victims gefälscht.
der nimmt deine MAC-Addresse in seinen Routingtable, aber unter der IP 192.168.178.5.

dann schickst du noch so ein packet an das victim, diesmal mit der IP des Routers.
Der routingtable wird wieder aktualisiert, diesmal mit deiner MAC und der IP des Routers.

dieser Prozess läuft ununterbrochen (ca alle 15 Sekunden oder so) weil sonst der gefälschte Eintrag
im Routing-Table gelöscht wird.

So wenn jetzt das victim ein Packet ins Internet schicken will, sendet er zwar an 192.168.178.1,
aber da im Lan über die MAC gerouted wird, erhält der Angreifer das Packet, das er snifft und dann
an denn Router weiterleitet als ob nichts gewesen wäre.Wenn der Router ein Packet an das victim weiterleiten will geht der gleiche Prozess von statten.

Deine eigene MAC-Addresse wird bei diesem Vorgang nicht geändert sonst hätte das ja kein Sinn..

Ich bin kein Geek :> .

Naja das mit dem TCP/IP würd ich lieber nochmal ein wenig nachlesen ^^.

Serow · 09.01.09, 18:21

Zitat:

Original von prEs
der nimmt deine MAC-Addresse in seinen Routingtable, aber unter der IP 192.168.178.5.

Du meinst sicher ARP Table

prEs · 09.01.09, 18:27

Das hast du richtig erkannt : ) ist mir garnicht aufgefallen.
Egal der Beitrag war ja wie zu erkennen ist ja auch nur ne kleine Veranschaulichung .

Empfehlung

09.01.09, 17:21	#1 (permalink)
digted Registriert seit: 24.11.08 Likes: 0	Man in the middle Hallo Geeks ;), ich habe mich in letzter Zeit mit ARP-Spoofing beschäftigt, dabei bin ich immer wieder auf das Tool Cain & Able gestoßen. Damit ist das ganze natürlich sehr einfach, anklicken kann natürlich jeder. Ich würde gerne erfahren was das Programm genau macht. Also die MAC Adresse fälsche ist ja unter Unix kein Problem. Dennoch müssen natürlich die gesnifften Pakete weiter geroutet werden. Dann habe ich mir gedacht ich könnte mit dem "route" Befehl, die Pakete weiterleiten. Beim Nachdenken ist mir dann allerdings eingefallen, wie soll ich die Pakete weiter routen, wenn ich zwei gleiche MAC Adressen in einem Netzwerk habe? Ist es nicht so, dass die weitergeleiteten Pakete wieder zu mir zurück kommen? Oder greift hier sogar das TCP/IP Protokol? Dies würde ich allerdings ausschließen, weil es meines Wissens ja lokal eigentlich keine Rolle spielt. Oder sollte ich meine ganze Logik nochmal überdenken ^^? mfg

09.01.09, 18:09	#6 (permalink)
Serow Senior Member Registriert seit: 26.03.06 Likes: 12	Wenn du die das OSI Layer Model mal anschaust, passiert Routing auf Layer 3, ARP auf Layer 2. Code: NAME route - show / manipulate the IP routing table Der route Befehl erlaubt nur du Änderungen in der Routing Tabelle vorzunehmen. Die sollte aber schon korrekt aufgebaut sein, denn das wird für "directly connected network" automatisch gemacht. Entfernte Netzwerke kann man dann entweder manuell oder über routing protokolle in die tabelle reinkriege - hab ich aber in nem Heimnetzwerk noch nie gesehen. Code: mathias@wizard:~$ ip route show 192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.2 169.254.0.0/16 dev eth0 scope link metric 1000 default via 192.168.2.1 dev eth0 metric 100 mathias@wizard:~$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1000 0 0 eth0 default localhost 0.0.0.0 UG 100 0 0 eth0 mathias@wizard:~$ Was du durch ARP Spoofing erreichst ist, dass PC1 ein Packet nach PC2 schickt, die Source und Destination IP auch richtig einträgt, aber als Destination MAC _deine_ in das Ethernet Frame schreibt. Daher leitet der Switch das Packet an dich weiter. Sofern du ip forwarding auf deinem System aktiviert hast, wird das Packet automatich anhand der IP Adressen (Layer 3) geroutet - und wahrscheinlich sogar durch den gleichen Adapter durch den es gekommen ist, nur eben mit andere Destination MAC Addresse, sodass es beim richtigen Empfänger ankommt. Ich denke / hoffe, dass ich jetzt gegen keine Boardregel verstoßen habe ... im Prinzip kann man das ja sogar bei Wikipedia nachlesen... cu serow

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
DHCP + Man in the Middle	Serow	Linux/UNIX	4	29.11.08 16:30
Schutz gegen man-in-the-middle-attack	Bogus	(In)security allgemein	35	27.06.08 23:49
Ist es möglich sich als man in the middle zusetzen?	0wnZ	(In)security allgemein	1	04.07.06 01:01
Man in the Middle ?	Tullamore	(In)security allgemein	8	08.01.06 16:32
klauen von dyndns adressen möglich (man in the middle attacke)	augustiner	(In)security allgemein	4	09.11.04 19:43

09.01.09, 17:42	#3 (permalink)
digted Themenstarter Registriert seit: 24.11.08 Likes: 0	Ja, nen Tipp wäre ganz hilfreich.

09.01.09, 17:57	#4 (permalink)
mu_ Registriert seit: 01.12.08 Likes: 0	Ein kleiner Denkanstoß: Wo fälscht du denn die MAC-Adresse?

09.01.09, 18:00	#5 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, ergänzend zu mu_: Nochmal den Wikipedia Artikel zu ARP Spoofing genauer durchlesen. Evt. auch ein paar Artikel wie denn im LAN der Zusammenhang zwischen MAC und IP ist. Dann evt. mal das Arp-Spoofing mir Wireshark o.ä. aufzeichen, um zu sehen, welche Packete so gesendet werden.

09.01.09, 18:11	#7 (permalink)
prEs Registriert seit: 20.11.08 Likes: 0	Ok ich bin einfach mal so frei. Also router = 192.168.178.1 attacker = 192.168.178.3 victim = 192.168.178.5 du schickst ein ARP-Packet an denn router, bei diesem Packet wird die Source addresse mit der des victims gefälscht. der nimmt deine MAC-Addresse in seinen Routingtable, aber unter der IP 192.168.178.5. dann schickst du noch so ein packet an das victim, diesmal mit der IP des Routers. Der routingtable wird wieder aktualisiert, diesmal mit deiner MAC und der IP des Routers. dieser Prozess läuft ununterbrochen (ca alle 15 Sekunden oder so) weil sonst der gefälschte Eintrag im Routing-Table gelöscht wird. So wenn jetzt das victim ein Packet ins Internet schicken will, sendet er zwar an 192.168.178.1, aber da im Lan über die MAC gerouted wird, erhält der Angreifer das Packet, das er snifft und dann an denn Router weiterleitet als ob nichts gewesen wäre.Wenn der Router ein Packet an das victim weiterleiten will geht der gleiche Prozess von statten. Deine eigene MAC-Addresse wird bei diesem Vorgang nicht geändert sonst hätte das ja kein Sinn.. Ich bin kein Geek :> . Naja das mit dem TCP/IP würd ich lieber nochmal ein wenig nachlesen ^^.

09.01.09, 18:27	#9 (permalink)
prEs Registriert seit: 20.11.08 Likes: 0	Das hast du richtig erkannt : ) ist mir garnicht aufgefallen. Egal der Beitrag war ja wie zu erkennen ist ja auch nur ne kleine Veranschaulichung .


HaBo Ads HaBOT

[HaBo]

Man in the middle