Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=a6bb39e42d3d6939f29b432ea445721e profile.php?mode=register&sid=a6bb39e42d3d6939f29b432ea445721e faq.php?sid=a6bb39e42d3d6939f29b432ea445721e memberlist.php?sid=a6bb39e42d3d6939f29b432ea445721e search.php?sid=a6bb39e42d3d6939f29b432ea445721e index.php?sid=a6bb39e42d3d6939f29b432ea445721e

Foren-Übersicht » Netzwerktechnik » [Tutorial] Packet-Sniffing Gehe zu Seite 1, 2  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[Tutorial] Packet-Sniffing
BeitragVerfasst am: 13.01.2006 19:24 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Die Tutorials in diesem Forum sollen keine Anleitung zur Kompromittierung von Serverdiensten geben. Der Leser sollte sich bemühen, Sicherheitslücken zu erkennen und zu beheben - zu diesem Zweck werden diese Tutorials geschrieben. Bitte verwendet die hier gezeigten Methoden nicht für illegale Aktivitäten.

So, ich schreibe mal ein kleines (d.h. nicht so ausführlich, denn dann könnte ich Stunden damit verbringen) Tutorial, wie ihr Packet Sniffing betreiben könnt.

Ihr benötigt einen Sniffer, dafür eignet sich z.B. Ethereal (für Linux und Windows erhältlich). Wer will, kann das auch mit tcpdump in der Konsole machen aber das halte ich für etwas übertrieben, da die grafisches Packetsniffer doch etwas komfortabler sind, wenn man das Ganze dann analysieren muss.

Bevor man Pakete untersucht, sollte man das OSI-Modell kennen; das habe ich hier erklärt: http://netzwerkinfos.com/netzwerktechnik/osi.php

Packet-Analysing ist auch notwendig, wenn man einen Paketfilter aufsetzen möchte, um zum Beispiel zu überprüfen, auf welchen Ports bestimmte Anwendungen kommunizieren.

Für einen Packet Sniffer benötigt man sowohl unter Linux als auch Windows Administratorrechte. Um das Capturing zu starten, klickt ihr auf den dritten Button von links oben "Start a new life capture".

Ich werde das nicht großartig erklären; dafür muss es jeder selbst ausprobieren. Ich gebe euch einfach mal drei Beispiele zur Orientierung und erläutere diese.

Ping

Ich pinge mal einen Host an und wir schauen uns an, was der Packet Sniffer dazu sagt.

http://netzwerkinfos.com/neu/files/ping.jpg

Wie man sieht wurden 6 Pakete ausgetauscht. Die einzelnen Pakete werde ich kurz erläutern.

Paket 1 und 2:
Als erstes wird ein ARP-Request per Broadcast gesendet, um die MAC-Adresse des Default-Gateways 192.168.1.1, welche für die Kommunikation zwischen zwei Schnitstellen benötigt wird, herauszufinden. Man sieht beim Packet-Sniffer auch immer die Source-Adress, Destination-Adress und das Protokoll. Das ARP-Reply kommt vom Gateway und teilt dem Netzknoten die MAC-Adresse mit.

Paket 3 und 4:
Hierbei handelt es sich um eine DNS-Query an das Default-Gateway 192.168.1.1. Die DNS-Response liefert die IP-Adresse der Domain heise.de.

Paket 5 und 6:
Erst jetzt kann der ICMP-Echo-Request (Ping-Anfrage) abgesetzt werden. Dieses Paket habe ich im Screenshot auch markiert. Unten kann man sich die einzelnen Header aufklappen und anschauen, d.h. Frame-Header, IP-Header, TCP-Header falls vorhanden und in dem Fall das ICMP-Paket. Zum Beispiel hat hier das Typfeld im ICMP-Paket den Wert 8, das entspricht einem Echo-Request. Anschließend kommt ein echo-Reply vom heise-Server zurück.

FTP

Nun ein zweites Beispiel. FTP überträgt, wie ja die meisten von euch wissen, die Daten unverschlüsselt.

In einem LAN mit einem Hub könnte man nun auf einfachste Weise die Passwörter der anderen Personen im lokalen Netzwerk herausbekommen, sofern sich diese z.B. mit einem FTP-Server verbinden.

http://netzwerkinfos.com/neu/files/ftp.jpg

Wie auf dem Screenshot unschwer zu erkennen ist, wird das Kennwort bei FTP mit dem Befehl PASS mitgeteilt. FTP wird zusammen mit TCP verwendet; daher ist hier auch ein TCP-Header erkennbar, welcher zum Beispiel die Ports anzeigt. SPort (Source-Port) ist 1599 (dieser wird per Zufall vom Quell-Host generiert). Der DPort (Destination-Port) ist der FTP-Port 21 für die Kontrolle der Datenübertragung. Beim aktiven FTP würden die Daten danach über Port 20 übertragen werden; bei passivem FTP fließen die Daten über eine Registered Port des Servers.

Bei vielen gesnifften Paketen, muss man das Passwort nicht suchen. Dafür gibt es die mit dem Lupensymbol gekennzeichnete Suche, wo auch nach Strings gesucht werden kann.

ICQ

So, das dritte Beispiel wird euch auch gleich zeigen, dass ICQ ausschließlich über den AOL-Server läuft. Ich weiß nicht, warum immer Leute behaupten, ICQ baue eine P2P Verbindung beim Datentransfer auf – das ist Schwachsinn. Um euch zu überzeugen, schickt ihr jemandem eine Datei und siehe da: Die Pakete kommen immer vom Server (Port 5190) und die ausgehenden Pakete werden auch immer zum Server (Port 5190) geschickt. Während einer ICQ-Session besteht eine TCP-Verbindung mit einem zufallsgenerierten Quellport und dem Zielport 5190 des AOL-Servers.

Update

Also das ist sehr komisch. Vor kurzem habe ich das mit ICQ ausprobiert - es lief definitiv alles über den AOL-Server. Jetzt habe ich es nochmal getestet und es bestand tatsächlich eine direkte TCP-Verbindung.


Zuletzt bearbeitet von Cerox am 22.04.2006 17:20, insgesamt 3-mal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 13.01.2006 21:53 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Das meiste davon wusste ich schon aber trotzdme gutes TUT Wink
Aber ich kann dir sagen warum alle glauben,dass beim ICQ Datntransfer ne p2p Verbindung genutzt wird Wink
Ganz einfach ICQ behauptet es kackfrech.
Zu beobachten wenn man ICQ frisch insatlliert hat und dann ne Datei verschickt.

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 13.01.2006 22:01 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Tja, wie gesagt ich habe es getestet und mir eine Datei schicken lassen; beide Teilnehmer haben ICQ 5 verwendet. Die Übertragung lief genauso über den Server.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 14.01.2006 19:15 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Das is es echt sehr komisch bei mir gings nämlich, und zwar nicht nur ein Mal.

Bekam dns und ip.

Habs mit tcpview gemacht.

Ausserdem müsste der Server ja unter der Datenlast zusammenbrechen.


Zuletzt bearbeitet von Lukas am 14.01.2006 19:38, insgesamt einmal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 14.01.2006 19:19 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Zitat:

Ausserdem müsste der Server ja unter der Datenlast zusammenbrechen bei acht UIN Stellen.

Wie soll man das verstehen????
Außerdem sind es 9 Stellen


Zuletzt bearbeitet von BlackLotus am 15.01.2006 01:58, insgesamt 2-mal bearbeitet

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 14.01.2006 19:42 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Stell dir mal vor der gesamte Datenverkehr geht über diesen Server.
Wär doch zu viel oder?
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 14.01.2006 20:53 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Das ist nicht zu viel. Du weißt nicht wie viele Server es gibt; also kannst du nichts darüber aussagen.

Zudem weißt du nichts über die Ausstattung und Anbindung der Server.

Zitat:
Das is es echt sehr komisch bei mir gings nämlich, und zwar nicht nur ein Mal.

Bekam dns und ip.


Das glaube ich nicht, da ich es ja selbst getestet habe. Der Sniffer bestätigt, dass alle Datenpakete über die selbe TCP-Verbindung fließen und zwar zum Server und andersrum werden sie vom Server geholt.

TCPview zeigt dir nur grafisch die TCP-Verbindungen an - du hast natürlich einige zum ICQ-Server.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 15.01.2006 17:51 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




Ich kanns bestätigen er hat zetzt meine ip
DX

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 15.01.2006 21:28 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Ich kanns bestätigen er hat zetzt meine ip


Vielleicht könntest du mal die Vorgehensweise beschreiben und deine Behauptungen belegen...
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 16.01.2006 13:03 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




Ich hab ihm eine MP3 per ICQ geschickt und er hat mit TCPView.exe meine IP gesnifft
Na besster
DX Kaito

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 16.01.2006 17:34 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Ich hab ihm eine MP3 per ICQ geschickt und er hat mit TCPView.exe meine IP gesnifft


Ja, heute abend machst du das dann mal bei mir!
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 17.01.2006 11:40 Antworten mit Zitat
Rebellion
Anmeldedatum: 04.01.2006
Beiträge: 151
Wohnort: %systemroot%




Gutes Tutor!
Den Aufbau des OSI-Modells kannte ich z.B. noch überhaupt nicht.
Ich werd das heute auch mit TCPView testen, ob wirklich alles über'm Server läuft, oder ob doch ne direkte Verbindung besteht.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 02.02.2006 18:38 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Habs nochmal getestet - diesmal bestand eine direkte Verbindung also ich werde daraus nicht schlau...
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.02.2006 18:48 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Vllt hängt das von der größe der Pakete oder soab....
Könnte ja auch sein das die unseren Netzvekehr überprüfen Wink

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.02.2006 18:54 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Das war 1,5 MB groß -> direkte Verbindung

Vorher wars ne mp3 von 3 MB oder so....
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
[Tutorial] Packet-Sniffing
Foren-Übersicht » Netzwerktechnik
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 2  
Gehe zu Seite 1, 2  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum