![[HaBo]](/styles/default/logoklein.png){kind=small}
Schutz gegen man-in-the-middle-attack
- Themenstarter Bogus
- Beginndatum
Elderan
0
Hallo,
nö.
Also man kann immer Sniffen (denn die Daten müssen ja gesendet werden), auch wenn man die Packete verschlüsselt sendet, kann man sogar noch die Klartextnachrichit irgendwo sniffen (sofern man nicht den neuen IBM CryptoChip besitzt).
nö.
Also man kann immer Sniffen (denn die Daten müssen ja gesendet werden), auch wenn man die Packete verschlüsselt sendet, kann man sogar noch die Klartextnachrichit irgendwo sniffen (sofern man nicht den neuen IBM CryptoChip besitzt).
Ja, aber man kann doch nicht alles über einen proxy laufen lassen oder?
?: ALso ich hab jetzt mal probiert einen freund von mir zu Sniffen mit der APR.
( Er hat mir zugestimmt das ich es machen darf )
Programm: Cain & Abel
Soweit hat bei mir auch alles im Lan Modus geklappt.
Nun wollte ich es bei meinem freund Probieren.
Ich muss ja den Router + Client auswählen wo ich die Pakete abfangen will.
Aber ich kann nur meinem Router anwähl und nicht seinen.
D.h: Mann muss dazu eine Standleitung haben?
Elderan
0
Hallo,
durch versuchtest das über das Internet, wenn ich dich richtig verstanden habe?
Warum sollte der Router von deinem Freund jetzt auf die Idee kommen, alle Packete erst an dich zu senden und nicht zum angegebenen Ziel?
Und glaubst du wirklich, dass das im Internet sooooo leicht ist?
Ich gege den Router von der CIA als Ziel an, und schon kann ich den Datenverkehr mitschneiden?
Oder wie hast du dir das vorgestellt?
durch versuchtest das über das Internet, wenn ich dich richtig verstanden habe?
Warum sollte der Router von deinem Freund jetzt auf die Idee kommen, alle Packete erst an dich zu senden und nicht zum angegebenen Ziel?
Und glaubst du wirklich, dass das im Internet sooooo leicht ist?
Ich gege den Router von der CIA als Ziel an, und schon kann ich den Datenverkehr mitschneiden?
Oder wie hast du dir das vorgestellt?
Ja, so in der Richtung. 
Ja, ich würde sagen das der Router vom CIA etwa mehr als 1 Meter hoch ist und den man nicht bei Media Markt kaufen kann.
Aber die Frage war ja warum kann ich nicht auf seinen ROuter, bei mir geht das nur im Lan modus sogesagt.
Ich mach einen host scan, dann habe ich mein Router u.s.w
Dann muss ich die 2 verbindungen wählen wo ich mich dazwischen setzen will.
Also, einfeache frage? Brauch ich dazu ne Standtleitung wo ich dann direkt mit dem I-net angeschlossen bin?
Ja, ich würde sagen das der Router vom CIA etwa mehr als 1 Meter hoch ist und den man nicht bei Media Markt kaufen kann.
Aber die Frage war ja warum kann ich nicht auf seinen ROuter, bei mir geht das nur im Lan modus sogesagt.
Ich mach einen host scan, dann habe ich mein Router u.s.w
Dann muss ich die 2 verbindungen wählen wo ich mich dazwischen setzen will.
Also, einfeache frage? Brauch ich dazu ne Standtleitung wo ich dann direkt mit dem I-net angeschlossen bin?
Also MitM übers Internet ist nicht einfach klick klick und fertig.
Du musst zuerst herausfinden was es für ein Router ist.
Die Router haben ja ein OS.
Stichwort "OS Fingerprint"
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
Du kannst auch über die MAC Adresse den Hersteller ermitteln.
Wenn du den Hersteller hast, kannst du nach fehlern in der
Routersoftware suchen. (secfoc usw.)
Eventuell kannst du da was ausnutzen.
Und MitM über Internet ist aber möglich.
Wie es die Leute von See Security gezeigt haben.
Allerdings mit Cisco Routern. Und wer hat Privat schon einen.
http://www.hackingdefined.com/movies/see-sec-gre-sniff.zip
mfg
Du musst zuerst herausfinden was es für ein Router ist.
Die Router haben ja ein OS.
Stichwort "OS Fingerprint"
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
Du kannst auch über die MAC Adresse den Hersteller ermitteln.
Wenn du den Hersteller hast, kannst du nach fehlern in der
Routersoftware suchen. (secfoc usw.)
Eventuell kannst du da was ausnutzen.
Und MitM über Internet ist aber möglich.
Wie es die Leute von See Security gezeigt haben.
Allerdings mit Cisco Routern. Und wer hat Privat schon einen.
http://www.hackingdefined.com/movies/see-sec-gre-sniff.zip
mfg
Elderan
0
Hallo,
Dann evt. nochmal informieren, was so die Unterschiede zwischen Switch und Routern sind.
Also in einem Lan geht spoofing so:
Der Switch speichert zwischen, welche MAC an welchem Port sitzt (im ARP Cache). Wenn man dem Switch ganz viele MACs über einen Port sendet, können 2 Sachen passieren:
1. Die Ankommenden MACs überschreiben den ARP-Cache (dort stehen dann nur noch Fake MACs drin), da der Router jetzt nicht mehr weiß welche MAC zu welchem anderem Port gehört, werden Datenpackete an alle gesendet .
2. Der Port wird deaktiviert (nen guter Schutz gegen diesen Angriff)
Oder aber man sagt zu Rechner A: Ich bin der Router, und zum Router sagt man: Ich bin der Rechner A.
Dies geht z.B. durch ARP-Spoofing, im ARP (z.B. Windows => Ausführen => cmd => arp -a) Cache steht drin, dass die IP 192.168.0.1 zur MAC xxx gehört, und die IP 192.168.0.2 zu abcdefg.... gehört.
Wenn .1 jetzt an die .2 eine Nachricht sendet, wird im ARP Cache die MAC Adresse ausgelesen, und als Ziel an das Packet drangehängt.
Wenn ich jetzt schaffe, diese Eintragungen zu ändern (also das bei Rechner A als MAC für .1 nicht mehr xxx steht sondern yyy), dann werden alle Packete die für .1 gedacht waren, an mich gesendet, obwohl ich ggf. eine andere IP Adresse habe.
Dieses Spoofing ist im LAN relativ leicht.
Bei Routern ist das anders, diese arbeiten nicht mehr mit MACs sondern mit IP-Adressen.
Um jetzt den Vehrkehr von deinem Freund mitzuschneiden, müsstest du z.B. seinem Router "sagen", dass sein Standardgateway jetzt dein Router wäre.
Der Router deines Freundes würde jetzt versuchen, alle ankommenden Packete an dich zu senden, da ihr aber keine direkte Verbindung habt, führt dies zu einem Fehler.
Denn der ursprüngliche Standardgateway von dem Router deines Freundes ist der Router bei seinem ISP.
Also müsstest du irgendwo versuchen beim ISP einzubrechen, was relativ zwecklos ist.
Oder du versuchst, den Router deines Freundes so umzuprogrammieren, dass als Proxy z.B. dein Computer benutzt wird (ich bin mir nicht sicher, ob man bei einem Router überhaupt einstellen kann, dass eine Connection über einen Proxy laufen soll.)
Oder du brichst bei deinem Freund ein, und "sagst" seinem Rechner, dass er doch bitte dich als Proxy benutzen soll.
Da du so oder so in den Router und/oder in den Freundes Rechner einbrechen musst, könntest du gleich dort einen Logger installieren, der dir dann alle 24h per Email die Daten zusendet, was xxxx mal leichter ist.
Man in the Middle benutzt über das Internet erfordert mehr als nur nen Mausklick.
Wenn du z.B. an die Telefonleitung deines Freundes rankommst, könntest du diese durchtrennen, dann dem Router deines Freundes sagen dass du der ISP bist, und dem ISP sagen, dass du der Router deines Freundes bist.
Für ICQ Gespräche wäre das einfache Lauschen an der Telefonleitung deutlich leichter. Das Man in the Middle stellt aber z.B. eine Gefahr für Online-Banking dar.
Wenn du jetzt in der Telefonleitung sitzt, bringt dort lauschen wenig. Aber bei MitM baut dein Freund eine verschlüsselte Verbindung mit dir auf, und nicht mit dem Server. Du baust dann die verschlüsselte Verb. mit dem Bank-Server auf.
Hier kannst du dann alles in Klartext mitlesen.
Und hier kommen die Zertifikate ins Spiel: Ist der andere Rechner wirklich der Rechner für den er sich ausgibt?
Dennoch benutzt der Router die gleichen Protokolle um im Internet zu surfen.Original von Paulaner-sls
Ja, so in der Richtung.
Ja, ich würde sagen das der Router vom CIA etwa mehr als 1 Meter hoch ist und den man nicht bei Media Markt kaufen kann.
Am besten mal bei Google/Wikipedia informieren wie das Internet funktioniert, also wie du ein Packet an den Zielserver sendest.
Dann evt. nochmal informieren, was so die Unterschiede zwischen Switch und Routern sind.
Ne mit ner Standleitung hat das nix zu tun.
Also in einem Lan geht spoofing so:
Der Switch speichert zwischen, welche MAC an welchem Port sitzt (im ARP Cache). Wenn man dem Switch ganz viele MACs über einen Port sendet, können 2 Sachen passieren:
1. Die Ankommenden MACs überschreiben den ARP-Cache (dort stehen dann nur noch Fake MACs drin), da der Router jetzt nicht mehr weiß welche MAC zu welchem anderem Port gehört, werden Datenpackete an alle gesendet .
2. Der Port wird deaktiviert (nen guter Schutz gegen diesen Angriff)
Oder aber man sagt zu Rechner A: Ich bin der Router, und zum Router sagt man: Ich bin der Rechner A.
Dies geht z.B. durch ARP-Spoofing, im ARP (z.B. Windows => Ausführen => cmd => arp -a) Cache steht drin, dass die IP 192.168.0.1 zur MAC xxx gehört, und die IP 192.168.0.2 zu abcdefg.... gehört.
Wenn .1 jetzt an die .2 eine Nachricht sendet, wird im ARP Cache die MAC Adresse ausgelesen, und als Ziel an das Packet drangehängt.
Wenn ich jetzt schaffe, diese Eintragungen zu ändern (also das bei Rechner A als MAC für .1 nicht mehr xxx steht sondern yyy), dann werden alle Packete die für .1 gedacht waren, an mich gesendet, obwohl ich ggf. eine andere IP Adresse habe.
Dieses Spoofing ist im LAN relativ leicht.
Bei Routern ist das anders, diese arbeiten nicht mehr mit MACs sondern mit IP-Adressen.
Um jetzt den Vehrkehr von deinem Freund mitzuschneiden, müsstest du z.B. seinem Router "sagen", dass sein Standardgateway jetzt dein Router wäre.
Der Router deines Freundes würde jetzt versuchen, alle ankommenden Packete an dich zu senden, da ihr aber keine direkte Verbindung habt, führt dies zu einem Fehler.
Denn der ursprüngliche Standardgateway von dem Router deines Freundes ist der Router bei seinem ISP.
Also müsstest du irgendwo versuchen beim ISP einzubrechen, was relativ zwecklos ist.
Oder du versuchst, den Router deines Freundes so umzuprogrammieren, dass als Proxy z.B. dein Computer benutzt wird (ich bin mir nicht sicher, ob man bei einem Router überhaupt einstellen kann, dass eine Connection über einen Proxy laufen soll.)
Oder du brichst bei deinem Freund ein, und "sagst" seinem Rechner, dass er doch bitte dich als Proxy benutzen soll.
Da du so oder so in den Router und/oder in den Freundes Rechner einbrechen musst, könntest du gleich dort einen Logger installieren, der dir dann alle 24h per Email die Daten zusendet, was xxxx mal leichter ist.
Man in the Middle benutzt über das Internet erfordert mehr als nur nen Mausklick.
Wenn du z.B. an die Telefonleitung deines Freundes rankommst, könntest du diese durchtrennen, dann dem Router deines Freundes sagen dass du der ISP bist, und dem ISP sagen, dass du der Router deines Freundes bist.
Für ICQ Gespräche wäre das einfache Lauschen an der Telefonleitung deutlich leichter. Das Man in the Middle stellt aber z.B. eine Gefahr für Online-Banking dar.
Wenn du jetzt in der Telefonleitung sitzt, bringt dort lauschen wenig. Aber bei MitM baut dein Freund eine verschlüsselte Verbindung mit dir auf, und nicht mit dem Server. Du baust dann die verschlüsselte Verb. mit dem Bank-Server auf.
Hier kannst du dann alles in Klartext mitlesen.
Und hier kommen die Zertifikate ins Spiel: Ist der andere Rechner wirklich der Rechner für den er sich ausgibt?
E
Easyrider
Guest
MS Rulez
Nimm doch einfach ein standartisiertes supportetes Produkt, das gut unter Windows funktioniert und noch dazu kostenfrei ist:
Microsoft Network Monitor 3.1
Nimm doch einfach ein standartisiertes supportetes Produkt, das gut unter Windows funktioniert und noch dazu kostenfrei ist:
Microsoft Network Monitor 3.1