Whireshark sniffing

O

ozeo

0
Hallo!
Ich beschäftige mich seit ein paar Stunden mit dem Thema sniffing...
Nun hab ich Whireshark auf mein Notebook (Win Vista 32bit) installiert.
Ich habe 2 Rechner an nem Router angeschlossen, und mit meinem Notebook bin ich über WLAN (wep) verbunden.
Gehe ich in Whireshark auf "List capture Interfaces", habe ich 3 zur Auswahl...
Microsoft / 192.168.178.38
MS Tunnel Interface Driver / unknown
Realtek / 0.0.0.0

Ich nehm also Microsoft, da ich in der Auswahl schon sehe, dass dieses Interface Pakete empfängt...
Jedoch empfang ich keine Pakete von den anderen Rechnern, immer nur von meiner IP...
Log ich mich z.B. im Notebook irgendwo ein, seh ich alles.
Mach ich das jedoch an einem der anderen Rechnern, passiert nichts...
Hoffe jemand kann mir paar Tip´s geben!
MFG oz
 
Hi
um die Pakete von anderen pc's abzufangen brachst du noch cain&abel da wireshark
nur datein an zeigt die durch deine netzwerkkarte gehen und dur cain&abel ist es möglich mit der ARP attacke die packet umzuleiten das die zuerst zu dir geschickt werden und dann
weiter.

mfg
Sn1per
 
okay, ich seh grad cain&abel geht unter vista nicht...
würde das über virtual pc unter xp laufen? Also auf mein Vista notebook?
MFG
 
würde das über virtual pc unter xp laufen? Also auf mein Vista notebook?
Zum Vergrößern anklicken....

Laufen würde es sehr wohl, aber du könntest wahrscheinlich nicht das machen was du machen möchtest, denn die Netzwerkkarte die Virtual PC zur Verfügung stellt ist eine virtuelle Karte und das führt höchst wahrscheinlich zu Problemen. ;)
 
Dabei sollte dir noch gesagt werden, das einige Firewalls bzw. Security Software ARP Spoofing erkennen und erstma alles blocken. Wenn es dir nur um das mitlesen geht von Paketen um zu sehen was dort abgeht besorg dir einen HUB da hast solche Probleme nicht.
 
also probiert hab ich´s noch nicht, da auf der ofiziellen seite von denen nix von vista steht, und ich ein bissn gegoogled hab, und gelesen hab, dass mit vista nicht klappt
 
Nun hab ich Whireshark auf mein Notebook (Win Vista 32bit) installiert. Ich habe 2 Rechner an nem Router angeschlossen, und mit meinem Notebook bin ich über WLAN (wep) verbunden. (..)
Jedoch empfang ich keine Pakete von den anderen Rechnern, immer nur von meiner IP...
Zum Vergrößern anklicken....

Du willst also am Laptop / der WLAN-Schnittstelle den Traffic abhören, der auf dem Kabel passiert? Versteh ich da jetzt irgendwas falsch, oder sieht das nicht irgendwie offensichtlich aus? :)

Jedenfalls, in geswitchten Umgebungen passiert eine Kommunikation zwischen den beiden Kommunikationspartnern - um an den Traffic zu kommen, musst du einen von beiden oder den Swich hacken.

Bei nem Hub ist das anders, der leitet jedes Paket an alle weiter, womit man also auch die Kommunikation zwischen 2 anderen Rechner mitbekommt.

Bei ARP-Spoofing hat man außerdem noch ganz andere Probleme, z.b. dass man sich innerhalb einer Broadcast-Domäne befinden muss (und man eigentlich Kabel und WLAN durch VLANs trennt, aber die meisten Consumer-"Router" (mit Switch, WLAN-AP usw) eben doch nur schrott sind).
 
OK, nochmal.

1. Wenn die Rechner an einem Hub hängen, werden alle dort einkommenden Pakete an "alle Rechner" geschickt. Da kriegt man natürlich alles mit, auch fremde Kommunikation.

2. Wenn die Rechner an einem Switch hängen, werden die Pakete nur zwischen den Kommunikationspartner ausgetauscht - also ist kein Mithören möglich (mal vom Anzapfen des Kabels abgesehen). ARP-Poisoning ist theoretisch möglich.

3. Wenn die Rechner in verschiedenen Netzen hängen (manchmal wird WLAN abgespalten, oft existiert für DHCP-Clients ein eigenes Netz - z.b. 192.168.0.0/24 standardmäßig und 192.168.178.0/24 für DHCP), wird zwischen den Netzen geroutet (!). Dabei sollten Broadcasts und ARP sowieso verworfen werden. D.h, hier besteht am wenigsten eine Möglichkeit, irgendwas mitzuhören (insbesondere ich kein ARP-Poisoning möglich).

Jetzt ist die Frage, was hier zutrifft.
Hubs werden in 08/15-Routern wohl kaum noch verbaut (zumal.. WLAN), ausschließen will ich es aber nicht - man sieht ja doch sehr viel, was man garnicht glauben will.
Switches sind da der Standard, imho, also Variante 2., zumindest fürs Kabel.
Bei WLAN sieht das aber evtl. so aus, dass Fall 3 zutrifft - bei mir daheim ist das z.b. der Fall. Viele Router machen das aber standardmäßig nicht so.

/edit: Zusammenfassung: Wenn alle 3 Rechner im gleichen Netz hängen, ist ARP-Poisoning möglich. Einen Hub wirst du nicht vorfinden, in einem vernünftigen Setup (fall 3) sollte Mithören eh nicht möglich sein.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben