Sniffer?

[tux83]

Hallo,

ich spiel mich grad mit sniffern rum. Das funktioniert auch alles wunderbar. Nur gibt es eine Möglichkeit ein Interface remote zu sniffen? So das ich praktisch die MAC oder die IP eintrage und ich dann den Datentransfer auf dieser entpferten Station auslesen kann.
Ohne das ich auf der entpfernten Station einen Dienst installieren muss.

Hoffe die frag gehört in das Forum.

Besten Dank...

mfg
tux83

 

[treo]

du kannst halt niemenden besniffen bei dem kein sniffer drauf ist, also muss ein sniffer bei deinem remote laufen

 

[TheVoid]

Bin mit Sniffern nicht wirklich firm.. hab mal ein wenig mit TCPDump rumgescriptet oder Ethereal ausprobiert, aber da muss es doch wirklich diese bösen Scripte oder komplette Programme geben, die wirklich den kompletten Traffic durchforsten nach bekannten Protokollen und dann Logins/Passwörter klauen.
Unter Windows kommt Cain ja schon ziemlich nahe dran, aber der geht nur nach Ports, dh wenn man nen FTPd auf port 8475 rennen hat, rafft Cain das nicht, und logt die Logininfos nicht.
Kennt wer Namen für eine Linuxlösung? Soll halt im kompletten Traffic nach verbreiteten Protokollen suchen (FTP, POP3, HTTPAUTH etc), OHNE vorher den kompletten Traffic auf PLatte zu dumpen und später das File zu durchsuchen?

 

[Zirias]

Man kann grundsätzlich nur das Sniffen, was auch am eigenen Rechner ankommt. Sollte logisch sein.

Normalerweise empfängt eine Netzwerkkarte nur Pakete, die auch an sie adressiert sind (MAC). Man kann sie aber in den "promiscuous mode" setzen, so dass sie alle Pakete empfängt, die auf dem Kabel sind. In einem geswitchten Netz hilft das erst mal nichts, weil der Switch nur die Pakete rausschickt, die nach seinem ARP-Cache auch da hin gehören. Man kann dann versuchen, den Cache vom Switch so weit mit verschiedenen MACs zu füllen, bis er sich wie ein Hub verhält und alles überall rausschickt. (Details: google('arp-poisoning')).

Greets, Ziri

 

[killerdenis]

jo Hallo

Hab da mal ne frage wie bekommt man die ip von jemanden aus meiner icq liste wir beide haben icq4

habe schon it netstat -a und des probiert kommt aber nicht die ip dann

wer es weis bitte ne ganz genaue anleitung

 

[Rushjo]

Original von Zirias
Man kann dann versuchen, den Cache vom Switch so weit mit verschiedenen MACs zu füllen, bis er sich wie ein Hub verhält und alles überall rausschickt. (Details: google('arp-poisoning')).

Alternativ kann man auch versuchen über "Arp-Spoofing" den Switch zu überzeugen, man sei das eigentlich Ziel und gleichzeitig den zu überwachenden Rechner, man sei der Switch. Dies geht aber nur im eigenen Subnet. Siehe dazu auch "dsniff" --> "arpspoof".

MfG Rushjo

 

[m4dl355]

das mit dem ICQ4 sniffen interessiert mich auch mal. Früher habe ich das mit netstat -a gemnacht das geht aber jetzt nicht mehr geht das überhauptnoch, weil ich glaube ICQ nnachrichtenwerden jetzt übereinserver geschicit werden

 

[qiubic]

Es gibt auch noch die Möglichkeit die MAC Adresse der Netzwerkkarte zu ändern. Eine billige switch verschickt das packet dann auch gern zweimal, und du kannst gemütlich mitsniffen. Das kommt allerdings auf die Hardware und die Umgebung an.
Als sniffer würde ich für den Anfänger auch cain empfehlen. Wenn dir das dann irgendwann mal langweilig wird, oder du einfach mehr wissen willst probierst du?s einfach mal mit ethereal.

Beim ändern der MAC Adresse musst du mal googlen, da ich den namen des Tools mit dem man die MAC ändern kann leider gerade vergessen hab. Wenn du allerdings ne bessere switch vor dir hast (z.B. die ciscos mit den hohen Zahlen ) hilft dir so was auch nicht. Dann kanst du aber meist auch so sachen wie arp-poisoning und Arp-Spoofing vergessen.

 

[SUID:root]

Original von qiubic
Es gibt auch noch die Möglichkeit die MAC Adresse der Netzwerkkarte zu ändern. Eine billige switch verschickt das packet dann auch gern zweimal, und du kannst gemütlich mitsniffen. Das kommt allerdings auf die Hardware und die Umgebung an.
Als sniffer würde ich für den Anfänger auch cain empfehlen. Wenn dir das dann irgendwann mal langweilig wird, oder du einfach mehr wissen willst probierst du?s einfach mal mit ethereal.

Beim ändern der MAC Adresse musst du mal googlen, da ich den namen des Tools mit dem man die MAC ändern kann leider gerade vergessen hab. Wenn du allerdings ne bessere switch vor dir hast (z.B. die ciscos mit den hohen Zahlen ) hilft dir so was auch nicht. Dann kanst du aber meist auch so sachen wie arp-poisoning und Arp-Spoofing vergessen.

Tool zum ändern der MAC-Adresse?
Wie wäre es mit maskieren der MAC-Adresse über "Eigenschaften von NIC"?

Warum sollte ARP-Spoofing nicht mehr funktionieren? Wenn ich den Gateway spoofe, dann habe ich zukünftig alle Pakete aller Hosts die über den Gateway rausgehen.

Gruss

root