[HaBo]

rooky · 31.08.04, 13:47

Hi
wie funktionieren diese sniffer?
habe ace password sniffer, win sniffer und etherreal probiert.

hmm, bei ace ging es irgendwie aber jetzt kann ich keinen controller mehr wählen ???
ausserdem kann ich das wohl nur als administrator laufen lassen - oder gibt es unter W2K auch die Möglichkeit es zwar als admin zu installieren aber auch als benutzer laufen und loggen zu lassen?

zur not würd ich's ja auch unter dem admin installieren UND laufen lassen. aber der ace, wie gesagt, findet keinen controller (mehr?).
der win läuft zwar ohne fehlermeldung, wenn ich aber dann ins netz geh und mich wo einlogg, dann checkt er jedenfalls nix. (natürlich hab ich den controller gewählt und ihn gestartet .

kann mir jemand helfen??

Prometheus · 02.10.04, 14:25

Schau dir mal das Netzwerk an. Wenn du eine Token Ring Netzwerkstrutkur hast, dann hast du es einfacher mit deinem Sniffer. Sollte es aber ein Netz-, oder Sternnetzwerk sein, ist es schon schwieriger. Ansonsten sind Netzwerke mit Hubs gut mit Sniffer angreifbar, aber falls Switchs vorhanden sind, ist es schon schwieriger. Auf jeden Fall solltest du deine Netzwerkkarte auf Promiscous Mode stellen, bei Netzwerken mit Hubs, müßtest du dann Packete bekommen. Bei Switch solltest du dan ein ARP Flooding mit verwenden, damit du den Switch austricksen kannst.

Anzeige

- Anzeige -

**Elderan** · 02.10.04, 16:29

Hallo,
naja ich denke mal die wenigsten benutzen noch Token-Ring-Netzwerke, das verbreiteste ist ein Sternnetzwerk mit einem Hub/Switch.

Also das geht so mit dem Hub:
Du sendet ein Paket, dieses Paket geht über das Netzwerkkabel zum Hub. Der Hub ist aber "dumm" und sendet das Paket an alle angeschlossene Netzwerkkabel.

Du sendet jetzt ein Paket an PC#2 (du bist PC#1) und am Hub hängt noch PC#3.

Der Hub sendet jetzt das Paket an alle PC's weiter, also sowohl an PC#2 als auch an PC#3.
Jeder PC der das Paket empfängt schaut nach, ob die IP am Paket seine ist, also ob das Paket für ihn bestimmt ist. Wenn ja dann akzeptiert es der PC.

Man kann aber die Netzwerkkarte von PC#3 so einstellen, das es alle Pakte akzeptiert.
Also kann PC#3 alle lesen, was zwischen PC#2 und PC#1 gesendet wird. Dafür muss die Karte in den Promisicus (oder so) Modus geschaltet werden, und so weit ich weißt geht das glaub ich nur als Admin.

4future · 02.10.04, 20:38

Bei einem Hub ist das mitsniffen von Paketen ohne größeren Aufwand (z.B. Verschlüsslung) möglich.... Bei einem Switch wird das ganze schon schwerer... da tun es nicht nur ARP Flooding (etwas veraltet), besser wäre Man in the Middle (fällt nicht so auf...)

zu den Token-Ring-Netzwerke...
Elderan diese Aussage ist absolut nicht richtig... FDDI Backbones sind immernoch sehr beliebte Backboneverkabelungen... und die Benutzen auch noch Token Passing...

**Elderan** · 02.10.04, 21:17

Hallo,
gut, aber ich meinte eigentlich Private Netzwerke/kleine Firmennetzwerke, dort benutzt man fast immer ein Sternsystem.

Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.

Prometheus · 03.10.04, 00:23

Zitat:

Original von Elderan
Hallo,
gut, aber ich meinte eigentlich Private Netzwerke/kleine Firmennetzwerke, dort benutzt man fast immer ein Sternsystem.

Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.

Nein man nutzt ein Gitternetzsystem. Ich kenne keine Firmen die nur Sternsysteme nutzen. Auch bei Switchs hast du eine Möglichkeit zu sniffen, wenn du zuvor die schon vorgeschlagenen Angriffe beherzigst.

4future · 03.10.04, 12:03

was sollen ein Giternetzsystem für eine Topologie sein ????

Meinst du damit eine Vermachte Topologie ?? (Die hat mit sicherheit kein Unternehmen !)
oder meinst du damit ein Hierachische Topologie ?? (Is doch auch gewissermaßen ein erweiterter Steren... braucht euch doch nicht drum zu streiten...)

@Elderan... klar benutzt man bei dem client heut zu tage immer stern netze (die meißtens erweitert sind. das bedeutet die an einem uplink am so genannten backbone hängen... in sehr vielen fällen ist das noch ein FDDI Ring (Glasfaser Doppelring))

Zu den Switches... es ist mit etwas Aufwand schon möglich... durch eine sogenannte Man in the Middle -Attacke...

dabei schaltet sich ein dritter zwichen die kommunikation zweier gesprächspartner. er gaukelt jedem der zwei vor der andere gesprächspartner zu sein... sämtliche kommunikation fließt dann über den dritten, der für die zwei fast transparent wirkt... dies wird am switch mit gefälschten arp paketen realisiert... alle vorhanden clients werden werden auf den angreifer umgebogen ....

wie kann man sich gegen sniffer schützen ? Es gibt software und hardware die anhand den veränderungen der antwortzeiten erkennt ob ein host mehr daten verarbeitet als eigentlich für ihn bestimmt sind...

man kann auch den netzwerkverkehr verschlüsseln: stichwort ipsec

gruß chris

Prometheus · 03.10.04, 13:45

@4future
Ja, das meine ich:
http://de.wikipedia.org/wiki/Netzwer...chtes_Netzwerk
Dieses Netzwerk muss ja nicht unbedingt nur aus PC's bestehen, sondern auch aus Switchs, da würde es schon mit einigen Firmennetzwerktopologien naheliegen.

4future · 03.10.04, 17:52

Also die Vermachte Topologie is so ein bisschen diskusionsbedürftig...

Einige sehen darin so eine Art erweiterter Stern mit mehrfachvernidungen zur redundanz, allerding geht man dabei von einem Netz aus, das keine aktiven Netzwerkgeräte verendet. (sprich keine Hubs/Switches/Router/Gateways)... Die verbindungen werden durch IP Forwarding auf den PC's realisiert, im Bestfall ist jeder PC mit jedem anderen verbunden... der daraus entstehende verkabelungsaufwand ist gigantisch... deswegen werden vermaschte topologien im normalfall nich verwendet.

05.10.04, 16:19

@Elderan

Zitat:

Original von Elderan
Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.

Das ist so nicht ganz richtig, also bei mir in einen grossen Netz (Windows-Domäne als grosses Intranet mit DMZ nach Aussen) funktioniert das Sniffen in "switched enviroment" mit Hilfe von dsniff und dem beigefügten Tool arpspoof sehr gut, aber halt nur immer im entsprechenden Klasse-C Netz.

Hier und auch hier mal was zum Lesen zum Thema.

MfG Rushjo

**Elderan** · 05.10.04, 16:38

Hallo,
aber einige neue Switch/Firewalls erkennen oft ARP-Spoofing und blockieren dann den Anschluss.

Also es kommt immer auf die verwendete Hardware an

05.10.04, 16:41

Also, ich rede von Cisco Catalyst 3700 XL. Da funktioniert es, obwohl es logischerweise auch ein Problem der Einstellungen am Switch sein kann. Nenne mal bitte ein Beispiel, wo es nicht funktioniert.

Thx & MfG Rushjo

4future · 05.10.04, 18:20

Bei allen aktuellen Enterasys Geräten.... (lässt sich aber auch ausschalten) wo gibt's denn das tool ?? würd ich gern mal ausprobieren....

dave363636 · 08.10.04, 10:06

Hallo Leute,

Kann mir jemand die Variante Man in the Middle erklären? Entspricht das der MAC-Fälschung?

Ich möchte den Internetverkehr unseres Netzes analysieren, kann ich dann zwischen Router und Switch nicht einfach ein simpler Hub dazwischenschalten und mittels Ethereal sniffen?

Danke für eure Hints!

Dave

4future · 08.10.04, 13:29

1.) entschuldeige bitte die grafik, hab hier (auf der arbeit) nur paint.. muss mir mal was gescheites installieren

2.) die Lösung mit dem Hub wäre schon besser, aber sie ist auf keinen fall ideal, damit kannst du nur den traffic der von einer area in die andere geht sniffen... nicht aber den traffic in einer area... da der switch nur den port mit dem hub nutzt, wenn ein paket auch in die andere area soll...

3.) Man in the Middle: oben hab ich's schon mal erklärt:

Zitat:

dabei schaltet sich ein dritter zwichen die kommunikation zweier gesprächspartner. er gaukelt jedem der zwei vor der andere gesprächspartner zu sein... sämtliche kommunikation fließt dann über den dritten, der für die zwei fast transparent wirkt... dies wird am switch mit gefälschten arp paketen realisiert... alle vorhanden clients werden werden auf den angreifer umgebogen ....

hier findet man auch noch was:
http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack

Anzeige

- Anzeige -

31.08.04, 13:47	#1 (permalink)
rooky Registriert seit: 31.08.04 Likes: 0	Password sniffer Anzeige Hi wie funktionieren diese sniffer? habe ace password sniffer, win sniffer und etherreal probiert. hmm, bei ace ging es irgendwie aber jetzt kann ich keinen controller mehr wählen ??? ausserdem kann ich das wohl nur als administrator laufen lassen - oder gibt es unter W2K auch die Möglichkeit es zwar als admin zu installieren aber auch als benutzer laufen und loggen zu lassen? zur not würd ich's ja auch unter dem admin installieren UND laufen lassen. aber der ace, wie gesagt, findet keinen controller (mehr?). der win läuft zwar ohne fehlermeldung, wenn ich aber dann ins netz geh und mich wo einlogg, dann checkt er jedenfalls nix. (natürlich hab ich den controller gewählt und ihn gestartet . kann mir jemand helfen??

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IP Sniffer	fischeroliv	Network · LAN, WAN, Firewalls	1	07.10.06 23:04
Password Sniffer	kerstel	Virenschutz · Tools & Aggressive Software	26	28.05.05 13:54
Sniffer?	tux83	Virenschutz · Tools & Aggressive Software	8	17.02.05 11:07
MSN IP Sniffer	mmichisurf	Downloads	5	19.09.04 16:13
msn sniffer	geno	Virenschutz · Tools & Aggressive Software	23	20.04.04 17:48

02.10.04, 14:25	#2 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Schau dir mal das Netzwerk an. Wenn du eine Token Ring Netzwerkstrutkur hast, dann hast du es einfacher mit deinem Sniffer. Sollte es aber ein Netz-, oder Sternnetzwerk sein, ist es schon schwieriger. Ansonsten sind Netzwerke mit Hubs gut mit Sniffer angreifbar, aber falls Switchs vorhanden sind, ist es schon schwieriger. Auf jeden Fall solltest du deine Netzwerkkarte auf Promiscous Mode stellen, bei Netzwerken mit Hubs, müßtest du dann Packete bekommen. Bei Switch solltest du dan ein ARP Flooding mit verwenden, damit du den Switch austricksen kannst.

02.10.04, 16:29	#3 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, naja ich denke mal die wenigsten benutzen noch Token-Ring-Netzwerke, das verbreiteste ist ein Sternnetzwerk mit einem Hub/Switch. Also das geht so mit dem Hub: Du sendet ein Paket, dieses Paket geht über das Netzwerkkabel zum Hub. Der Hub ist aber "dumm" und sendet das Paket an alle angeschlossene Netzwerkkabel. Du sendet jetzt ein Paket an PC#2 (du bist PC#1) und am Hub hängt noch PC#3. Der Hub sendet jetzt das Paket an alle PC's weiter, also sowohl an PC#2 als auch an PC#3. Jeder PC der das Paket empfängt schaut nach, ob die IP am Paket seine ist, also ob das Paket für ihn bestimmt ist. Wenn ja dann akzeptiert es der PC. Man kann aber die Netzwerkkarte von PC#3 so einstellen, das es alle Pakte akzeptiert. Also kann PC#3 alle lesen, was zwischen PC#2 und PC#1 gesendet wird. Dafür muss die Karte in den Promisicus (oder so) Modus geschaltet werden, und so weit ich weißt geht das glaub ich nur als Admin.

02.10.04, 20:38	#4 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Bei einem Hub ist das mitsniffen von Paketen ohne größeren Aufwand (z.B. Verschlüsslung) möglich.... Bei einem Switch wird das ganze schon schwerer... da tun es nicht nur ARP Flooding (etwas veraltet), besser wäre Man in the Middle (fällt nicht so auf...) zu den Token-Ring-Netzwerke... Elderan diese Aussage ist absolut nicht richtig... FDDI Backbones sind immernoch sehr beliebte Backboneverkabelungen... und die Benutzen auch noch Token Passing...

02.10.04, 21:17	#5 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, gut, aber ich meinte eigentlich Private Netzwerke/kleine Firmennetzwerke, dort benutzt man fast immer ein Sternsystem. Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.

03.10.04, 12:03	#7 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	was sollen ein Giternetzsystem für eine Topologie sein ???? Meinst du damit eine Vermachte Topologie ?? (Die hat mit sicherheit kein Unternehmen !) oder meinst du damit ein Hierachische Topologie ?? (Is doch auch gewissermaßen ein erweiterter Steren... braucht euch doch nicht drum zu streiten...) @Elderan... klar benutzt man bei dem client heut zu tage immer stern netze (die meißtens erweitert sind. das bedeutet die an einem uplink am so genannten backbone hängen... in sehr vielen fällen ist das noch ein FDDI Ring (Glasfaser Doppelring)) Zu den Switches... es ist mit etwas Aufwand schon möglich... durch eine sogenannte Man in the Middle -Attacke... dabei schaltet sich ein dritter zwichen die kommunikation zweier gesprächspartner. er gaukelt jedem der zwei vor der andere gesprächspartner zu sein... sämtliche kommunikation fließt dann über den dritten, der für die zwei fast transparent wirkt... dies wird am switch mit gefälschten arp paketen realisiert... alle vorhanden clients werden werden auf den angreifer umgebogen .... wie kann man sich gegen sniffer schützen ? Es gibt software und hardware die anhand den veränderungen der antwortzeiten erkennt ob ein host mehr daten verarbeitet als eigentlich für ihn bestimmt sind... man kann auch den netzwerkverkehr verschlüsseln: stichwort ipsec gruß chris

03.10.04, 13:45	#8 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	@4future Ja, das meine ich: http://de.wikipedia.org/wiki/Netzwer...chtes_Netzwerk Dieses Netzwerk muss ja nicht unbedingt nur aus PC's bestehen, sondern auch aus Switchs, da würde es schon mit einigen Firmennetzwerktopologien naheliegen.

03.10.04, 17:52	#9 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Also die Vermachte Topologie is so ein bisschen diskusionsbedürftig... Einige sehen darin so eine Art erweiterter Stern mit mehrfachvernidungen zur redundanz, allerding geht man dabei von einem Netz aus, das keine aktiven Netzwerkgeräte verendet. (sprich keine Hubs/Switches/Router/Gateways)... Die verbindungen werden durch IP Forwarding auf den PC's realisiert, im Bestfall ist jeder PC mit jedem anderen verbunden... der daraus entstehende verkabelungsaufwand ist gigantisch... deswegen werden vermaschte topologien im normalfall nich verwendet.

05.10.04, 16:38	#11 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, aber einige neue Switch/Firewalls erkennen oft ARP-Spoofing und blockieren dann den Anschluss. Also es kommt immer auf die verwendete Hardware an

05.10.04, 16:41	#12 (permalink)
Rushjo Guest Likes:	Also, ich rede von Cisco Catalyst 3700 XL. Da funktioniert es, obwohl es logischerweise auch ein Problem der Einstellungen am Switch sein kann. Nenne mal bitte ein Beispiel, wo es nicht funktioniert. Thx & MfG Rushjo

05.10.04, 18:20	#13 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Bei allen aktuellen Enterasys Geräten.... (lässt sich aber auch ausschalten) wo gibt's denn das tool ?? würd ich gern mal ausprobieren....

08.10.04, 10:06	#14 (permalink)
dave363636 Registriert seit: 08.10.04 Likes: 0	Hallo Leute, Kann mir jemand die Variante Man in the Middle erklären? Entspricht das der MAC-Fälschung? Ich möchte den Internetverkehr unseres Netzes analysieren, kann ich dann zwischen Router und Switch nicht einfach ein simpler Hub dazwischenschalten und mittels Ethereal sniffen? Danke für eure Hints! Dave

[HaBo]

Password sniffer