ARP-Redirection

Xalon · Jul 3, 2006

Hi,
einige wissen vielleicht was ARP-Redirection bedeutet,das ist ein Verfahren das es einem erlaubt in geswitchten Netzwerken Datenverkehr zu sniffen!

Da ich heute meine letzte Schulaufgabe geschrieben hab und jetzt wieder mehr Zeit
fürs Coden(und fürs Saufen

) hab würde dazu gern ein Tool dazu schreiben,ich werds natürlich wieder OpenSource stellen,wie sich das gehört!
Werd vielleicht auch ein Tutorial darüber schreiben,weil das Tut übers API-Hooking ganz gut angekommen ist

Aber vorher hab ich noch 2 Fragen:

1.Wenn das Opfer in Netzwerk A ist,ich in Netzwerk B,und dazwischen ein Switch steht,ist
das ganze Verfahren dann immer noch möglich?
Oder ist es zwar möglich aber nur in abgeänderter Form?
Oder kann ichs dann vergessen?

2.Kann man anhand der MAC identifiziert werden?Nicht das ich jetzt angst hätte aber
wenn das nicht möglich ist hab ich eine gute idee für einen kleinen Zusatz

Dann könnte man ja einfach sagen "Hey pass auf,die ip xxx.xxx.xxx.xxx ist bei der MAC
bla:bla:bla" und dann durch IP-Spoofing die IP xxx.xxx.xxx.xxx annehmen,und die
Pakete würden den Weg trotzdem finden.
Aber sollte man über die MAC identifizierbar sein nützt das ja nichts

Danke im voraus,
Xalon

Ancient · Jul 5, 2006

1.Mit Netzwerk meinst du physikalische Netze oder verschiedene IP netze ?
Ich nehme mal an du meinst physikalisch getrennte netzwerk segmente sonst bräuchtest ja nen router und keinen switch.

2.Jo alles möglich.

Aber wozu das Rad neu erfinden ?

http://www.oxid.it/cain.html
http://ettercap.sourceforge.net/

Ich mein als übung sicher nett aber alles in allem gibts eben schon die 2 oben genannte Progs die auch shcon über lange Zeit hinweg erprobt und getested sind *eg*.

MFG Ancient.

PS: Falls dich das Thema ethernet (in)security interessiert und du halbwegs gut Englisch kannst hier wird das top erklärt (die ganze serie ist übrigens zu empfehlen).

http://media.grc.com/sn/SN-029.mp3

Leo and I discuss the design, operation, and complete lack of security of Ethernet ? the LAN technology that virtually all of the world uses. We explain how this lack of security enables a wide range of serious attacks to be perpetrated by any other machine sharing the same Ethernet ? such as in a wireless hotspot, within a corporate network, or even in a wired hotel where the entire hotel is one big exploitable Ethernet LAN. GRC's ARP Cache Poisoning page contains a detailed explanation of these problems with diagrams and links to readily available Ethernet ARP exploitation malware.

und noch was.

http://www.grc.com/nat/arp.htm

SUID:root · Jul 5, 2006

Du kannst dir auch mal die site von dsniff bzw arpspoof ansehen. Da findest du auch noch nützliche Infos.
http://www.monkey.org/~dugsong/dsniff/
Gruss

root

Xalon · Jul 5, 2006

Ok,Danke eucht beiden !
Wie ich ja jetzt weiß funktioniert das ganze nur in LANs(hab das zwar schon vorher
gelesen,aber jetzt bin ich mir sicher :/ )
Gibts ähnliche Möglichkeiten des Sniffens in einem WAN,also z.B. dem Internet?

Aber wozu das Rad neu erfinden ?

Ich bau nur ein Rad

Danke im voraus,
Xalon

v01d · Jul 5, 2006

Original von Xalon
Gibts ähnliche Möglichkeiten des Sniffens in einem WAN,also z.B. dem Internet?

Nein, da hier Router zum Einsatz kommen.

Original von Ancient
Aber wozu das Rad neu erfinden ?

Tz... Wenn jeder so denken würde, gäbs wohl viele schöne Freeware/OpenSource Programme nicht

SpongeBob · Jul 7, 2006

Also noch ne frage:
das ganze geht nur nicht über wlan, weil das dann über einen router läuft und der eine firewall hat?
habs schon bei meinem Bruder probiert (h3h3) (mit cain) aber da ist das komplette inet zusammengebrochen. war mir dann irgendwann zu doof und zu auffällig!

Xalon · Jul 8, 2006

Doch das sollte auch über WLAN gehen,hängt immer von den 2 Remote-PCs ab!
Vielleicht hast du vergessen IP-Forwarding zu aktivieren

Ancient · Jul 8, 2006

Original von SpongeBob
Also noch ne frage:
das ganze geht nur nicht über wlan, weil das dann über einen router läuft und der eine firewall hat?
habs schon bei meinem Bruder probiert (h3h3) (mit cain) aber da ist das komplette inet zusammengebrochen. war mir dann irgendwann zu doof und zu auffällig!

Wieso sollte WLAN über nen router laufen nur weil dein "router" zufällig nen AP integriert hat heist das nicht das da die firewall vom rpouter greift die FW vom router greift normalerweise nur von LAN <--> WAN das WLAN ist ja im selben ip netz wie das kabelgebundene LAN also macht der Router da gar nix ausser als AP fungieren. Das das netz zusammenbricht wundert mich nicht wenn du den gesamten traffic übenimmst steht ja sogar in der Cain Hilfe das Router viel stärkere Geräte sind als dein Rechner fürs routing und ein normaler Pc den traffic nicht handlen wird können vor allem wenn viele Daten gesendet werden ich würd vorschlagen du interceptest nur von einer gewissen IP also Router <--> Bruder und nicht den gesamten Traffic.

MFG Ancient.

SpongeBob · Jul 8, 2006

ja ist ja so, dass ich nur mein bruder intercepte...sind nicht mehr im netzwerk