Password sniffer

R

rooky

0
Hi
wie funktionieren diese sniffer?
habe ace password sniffer, win sniffer und etherreal probiert.

hmm, bei ace ging es irgendwie aber jetzt kann ich keinen controller mehr wählen ???
ausserdem kann ich das wohl nur als administrator laufen lassen - oder gibt es unter W2K auch die Möglichkeit es zwar als admin zu installieren aber auch als benutzer laufen und loggen zu lassen?

zur not würd ich's ja auch unter dem admin installieren UND laufen lassen. aber der ace, wie gesagt, findet keinen controller (mehr?).
der win läuft zwar ohne fehlermeldung, wenn ich aber dann ins netz geh und mich wo einlogg, dann checkt er jedenfalls nix. (natürlich hab ich den controller gewählt und ihn gestartet ;).

kann mir jemand helfen??
 
Schau dir mal das Netzwerk an. Wenn du eine Token Ring Netzwerkstrutkur hast, dann hast du es einfacher mit deinem Sniffer. Sollte es aber ein Netz-, oder Sternnetzwerk sein, ist es schon schwieriger. Ansonsten sind Netzwerke mit Hubs gut mit Sniffer angreifbar, aber falls Switchs vorhanden sind, ist es schon schwieriger. Auf jeden Fall solltest du deine Netzwerkkarte auf Promiscous Mode stellen, bei Netzwerken mit Hubs, müßtest du dann Packete bekommen. Bei Switch solltest du dan ein ARP Flooding mit verwenden, damit du den Switch austricksen kannst.
 
Hallo,
naja ich denke mal die wenigsten benutzen noch Token-Ring-Netzwerke, das verbreiteste ist ein Sternnetzwerk mit einem Hub/Switch.

Also das geht so mit dem Hub:
Du sendet ein Paket, dieses Paket geht über das Netzwerkkabel zum Hub. Der Hub ist aber "dumm" und sendet das Paket an alle angeschlossene Netzwerkkabel.

Du sendet jetzt ein Paket an PC#2 (du bist PC#1) und am Hub hängt noch PC#3.

Der Hub sendet jetzt das Paket an alle PC's weiter, also sowohl an PC#2 als auch an PC#3.
Jeder PC der das Paket empfängt schaut nach, ob die IP am Paket seine ist, also ob das Paket für ihn bestimmt ist. Wenn ja dann akzeptiert es der PC.

Man kann aber die Netzwerkkarte von PC#3 so einstellen, das es alle Pakte akzeptiert.
Also kann PC#3 alle lesen, was zwischen PC#2 und PC#1 gesendet wird. Dafür muss die Karte in den Promisicus (oder so) Modus geschaltet werden, und so weit ich weißt geht das glaub ich nur als Admin.
 
Bei einem Hub ist das mitsniffen von Paketen ohne größeren Aufwand (z.B. Verschlüsslung) möglich.... Bei einem Switch wird das ganze schon schwerer... da tun es nicht nur ARP Flooding (etwas veraltet), besser wäre Man in the Middle (fällt nicht so auf...)

zu den Token-Ring-Netzwerke...
Elderan diese Aussage ist absolut nicht richtig... FDDI Backbones sind immernoch sehr beliebte Backboneverkabelungen... und die Benutzen auch noch Token Passing...
 
Hallo,
gut, aber ich meinte eigentlich Private Netzwerke/kleine Firmennetzwerke, dort benutzt man fast immer ein Sternsystem.

Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.
 
Original von Elderan
Hallo,
gut, aber ich meinte eigentlich Private Netzwerke/kleine Firmennetzwerke, dort benutzt man fast immer ein Sternsystem.

Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.
Zum Vergrößern anklicken....

Nein man nutzt ein Gitternetzsystem. Ich kenne keine Firmen die nur Sternsysteme nutzen. Auch bei Switchs hast du eine Möglichkeit zu sniffen, wenn du zuvor die schon vorgeschlagenen Angriffe beherzigst.
 
was sollen ein Giternetzsystem für eine Topologie sein ????

Meinst du damit eine Vermachte Topologie ?? (Die hat mit sicherheit kein Unternehmen !)
oder meinst du damit ein Hierachische Topologie ?? (Is doch auch gewissermaßen ein erweiterter Steren... braucht euch doch nicht drum zu streiten...)

@Elderan... klar benutzt man bei dem client heut zu tage immer stern netze (die meißtens erweitert sind. das bedeutet die an einem uplink am so genannten backbone hängen... in sehr vielen fällen ist das noch ein FDDI Ring (Glasfaser Doppelring))

Zu den Switches... es ist mit etwas Aufwand schon möglich... durch eine sogenannte Man in the Middle -Attacke...

dabei schaltet sich ein dritter zwichen die kommunikation zweier gesprächspartner. er gaukelt jedem der zwei vor der andere gesprächspartner zu sein... sämtliche kommunikation fließt dann über den dritten, der für die zwei fast transparent wirkt... dies wird am switch mit gefälschten arp paketen realisiert... alle vorhanden clients werden werden auf den angreifer umgebogen ....

wie kann man sich gegen sniffer schützen ? Es gibt software und hardware die anhand den veränderungen der antwortzeiten erkennt ob ein host mehr daten verarbeitet als eigentlich für ihn bestimmt sind...

man kann auch den netzwerkverkehr verschlüsseln: stichwort ipsec

gruß chris
 
Also die Vermachte Topologie is so ein bisschen diskusionsbedürftig...

Einige sehen darin so eine Art erweiterter Stern mit mehrfachvernidungen zur redundanz, allerding geht man dabei von einem Netz aus, das keine aktiven Netzwerkgeräte verendet. (sprich keine Hubs/Switches/Router/Gateways)... Die verbindungen werden durch IP Forwarding auf den PC's realisiert, im Bestfall ist jeder PC mit jedem anderen verbunden... der daraus entstehende verkabelungsaufwand ist gigantisch... deswegen werden vermaschte topologien im normalfall nich verwendet.
 
@Elderan

Original von Elderan
Große Firmen haben dann aber oft Switch(s), so das man kaum ne Chance hat, da noch was zu sniffen.
Zum Vergrößern anklicken....

Das ist so nicht ganz richtig, also bei mir in einen grossen Netz (Windows-Domäne als grosses Intranet mit DMZ nach Aussen) funktioniert das Sniffen in "switched enviroment" mit Hilfe von dsniff und dem beigefügten Tool arpspoof sehr gut, aber halt nur immer im entsprechenden Klasse-C Netz.

Hier und auch hier mal was zum Lesen zum Thema. ;)

MfG Rushjo
 
Hallo,
aber einige neue Switch/Firewalls erkennen oft ARP-Spoofing und blockieren dann den Anschluss.

Also es kommt immer auf die verwendete Hardware an
 
Also, ich rede von Cisco Catalyst 3700 XL. Da funktioniert es, obwohl es logischerweise auch ein Problem der Einstellungen am Switch sein kann. Nenne mal bitte ein Beispiel, wo es nicht funktioniert.

Thx & MfG Rushjo
 
Bei allen aktuellen Enterasys Geräten.... (lässt sich aber auch ausschalten) wo gibt's denn das tool ?? würd ich gern mal ausprobieren....
 
Hallo Leute,

Kann mir jemand die Variante Man in the Middle erklären? Entspricht das der MAC-Fälschung?

Ich möchte den Internetverkehr unseres Netzes analysieren, kann ich dann zwischen Router und Switch nicht einfach ein simpler Hub dazwischenschalten und mittels Ethereal sniffen?

Danke für eure Hints!

Dave
 
anschaulich.gif


1.) entschuldeige bitte die grafik, hab hier (auf der arbeit) nur paint.. muss mir mal was gescheites installieren

2.) die Lösung mit dem Hub wäre schon besser, aber sie ist auf keinen fall ideal, damit kannst du nur den traffic der von einer area in die andere geht sniffen... nicht aber den traffic in einer area... da der switch nur den port mit dem hub nutzt, wenn ein paket auch in die andere area soll...

3.) Man in the Middle: oben hab ich's schon mal erklärt:
dabei schaltet sich ein dritter zwichen die kommunikation zweier gesprächspartner. er gaukelt jedem der zwei vor der andere gesprächspartner zu sein... sämtliche kommunikation fließt dann über den dritten, der für die zwei fast transparent wirkt... dies wird am switch mit gefälschten arp paketen realisiert... alle vorhanden clients werden werden auf den angreifer umgebogen ....
Zum Vergrößern anklicken....

hier findet man auch noch was:
http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack
 
Für das sniffen in geswitchten Netzwerken gibt es afaik verschiednene Techniken, die oben z. T. auch schon genannt wurden.

Beim ARP-Poisoning wird der Switch sehr schnell mit einers solchen Vielzahl von MAC-Adressen überhäuft, dass seine Tabelle überläuft und er bald echte Pakete fluten muss, womit sie wieder mit einfachen Sniffern abgehört werden können.
Wie man sich leicht denken kann, sind solche Angriffe leicht erkennbar und werden von modernen Systmen wohl inzwischen auch erkannt.

Beim ARP-Spoofing wird eine gefälschte MAC-Adresse verwendet, und damit bei vielen Switches einfach bewirkt, dass entsprechden Pakete an zwei Ports gesendet werden.
Nachteil: Man bekommt immer nur einen Teil der Kommunikation mit.

Eine Variante davon ist das Session-Hijacking. Hier wird in eine Verbindung eingegriffen der Datenverkehr zwischen zwei Partnern über einen dritten host (den Sniffer) umgeleitet und dabei abgehört.
Ein Programm das diese Technik beherrscht ist Beispielsweise "hunt".
Steht aber meines Wissens nur für Unix- und Linux-Systeme zur Verfügung ;)
 
Hallo,
ich habe jetzt auch den Password Sniffer,
nun eine Frage, ich habe auf Sat1 letztens eine Reportage gesehen,
wenn ich mich z.B. bei Ebay oder so einlogge klappt das nicht,
der zeigt mir dann nichts an, genauso bei web.de .

Bei Planetopia auf Sat1 hatten die auch so ein Programm, das aber alle Kennwörter im nachhinein findet, auch von ebay und web.de, wisst Ihr wo es so ein Programm gibt?

Viele Grüße
Tobias
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben