Embed Size (px)
Citation preview
Philip Becker: Packet Sniffer1/ 13
Packet Sniffer
Philip Becker
15. Februar 2015
Philip Becker: Packet Sniffer2/ 13
Inhalt
1 Einfuhrung
2 Funktion
3 Problematik
4 Anwendungsfalle
5 Wireshark: Geschichte
6 Wireshark: Technische Daten
7 Livedemo
8 Rechtliches
9 Schutzmaßnahmen
10 Fragen
11 Quellen
Philip Becker: Packet SnifferEinfuhrung 3/ 13
Anwendungsbereich
Analyse von Netzwerkproblemen
Mitlesen von Informationen
Erkennen ungewollter Tools (z.B. Sniffer)
Philip Becker: Packet SnifferEinfuhrung 3/ 13
Anwendungsbereich
Analyse von Netzwerkproblemen
Mitlesen von Informationen
Erkennen ungewollter Tools (z.B. Sniffer)
Philip Becker: Packet SnifferEinfuhrung 3/ 13
Anwendungsbereich
Analyse von Netzwerkproblemen
Mitlesen von Informationen
Erkennen ungewollter Tools (z.B. Sniffer)
Philip Becker: Packet SnifferEinfuhrung 3/ 13
Anwendungsbereich
Analyse von Netzwerkproblemen
Mitlesen von Informationen
Erkennen ungewollter Tools (z.B. Sniffer)
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferFunktion 4/ 13
Funktion
Sniffer liest jeglichen Traffic mit und speichert diesen
Modi des Interfaces
Non Promiscuous Mode:”Normalbetrieb“, nur Traffic fur den
Host wird verarbeitetPromiscuous Mode: Gesamter Traffic wird verarbeitet, inWLAN nur Traffic zwischen AP und ClientMonitor Mode: alle empfangenen Daten werden verarbeitet,nicht nur die zwischen AP und Client
Philip Becker: Packet SnifferProblematik 5/ 13
Netzwerkeinfluss
Hubs und Switches
Hubs: Unproblematisch, jeder Host bekommt jedes Paket(”Promiscuous Mode“)
Switches: ARP-Spoofing, MAC-Flooding, ICMP-Redirect
Philip Becker: Packet SnifferProblematik 5/ 13
Netzwerkeinfluss
Hubs und Switches
Hubs: Unproblematisch, jeder Host bekommt jedes Paket(”Promiscuous Mode“)
Switches: ARP-Spoofing, MAC-Flooding, ICMP-Redirect
Philip Becker: Packet SnifferProblematik 5/ 13
Netzwerkeinfluss
Hubs und Switches
Hubs: Unproblematisch, jeder Host bekommt jedes Paket(”Promiscuous Mode“)
Switches: ARP-Spoofing, MAC-Flooding, ICMP-Redirect
Philip Becker: Packet SnifferProblematik 5/ 13
Netzwerkeinfluss
Hubs und Switches
Hubs: Unproblematisch, jeder Host bekommt jedes Paket(”Promiscuous Mode“)
Switches: ARP-Spoofing, MAC-Flooding, ICMP-Redirect
Philip Becker: Packet SnifferProblematik 5/ 13
Netzwerkeinfluss
Hubs und Switches
Hubs: Unproblematisch, jeder Host bekommt jedes Paket(”Promiscuous Mode“)
Switches: ARP-Spoofing, MAC-Flooding, ICMP-Redirect
Philip Becker: Packet SnifferAnwendungsfalle 6/ 13
Anwendungsfalle
Mitschneiden von Logins
Aufspuren anderer Tools
Anti-Viren-Software, Update-Vorgang beobachten
Netzwerkprobleme erkennen
Philip Becker: Packet SnifferAnwendungsfalle 6/ 13
Anwendungsfalle
Mitschneiden von Logins
Aufspuren anderer Tools
Anti-Viren-Software, Update-Vorgang beobachten
Netzwerkprobleme erkennen
Philip Becker: Packet SnifferAnwendungsfalle 6/ 13
Anwendungsfalle
Mitschneiden von Logins
Aufspuren anderer Tools
Anti-Viren-Software, Update-Vorgang beobachten
Netzwerkprobleme erkennen
Philip Becker: Packet SnifferAnwendungsfalle 6/ 13
Anwendungsfalle
Mitschneiden von Logins
Aufspuren anderer Tools
Anti-Viren-Software, Update-Vorgang beobachten
Netzwerkprobleme erkennen
Philip Becker: Packet SnifferAnwendungsfalle 6/ 13
Anwendungsfalle
Mitschneiden von Logins
Aufspuren anderer Tools
Anti-Viren-Software, Update-Vorgang beobachten
Netzwerkprobleme erkennen
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Geschichte 7/ 13
Wireshark: Geschichte
Fork von”Ethereal“ (Entwicklung 2006 eingestellt)
Variante ohne GUI: TShark
Benutzt”pcap“: API zum Mitschneiden von Traffic,
entwickelt von tcpdump-Entwicklern
Dadurch an Netzwerktypen von pcap gebunden: Ethernet,PPP, uvm.
Andere Tools die pcap benutzen: iftop (top furNetzwerkverkehr) und nmap (Portscanner)
Philip Becker: Packet SnifferWireshark: Technische Daten 8/ 13
Wireshark: Technische Daten
Lizenz: GPL
Fugt bei vielen Protokollen Metainformationen hinzu
(Vorgefertige) Filter fur verschiedene Protokolle (nicht ganzintuitive Regelsyntax)
Plugin-System
Philip Becker: Packet SnifferWireshark: Technische Daten 8/ 13
Wireshark: Technische Daten
Lizenz: GPL
Fugt bei vielen Protokollen Metainformationen hinzu
(Vorgefertige) Filter fur verschiedene Protokolle (nicht ganzintuitive Regelsyntax)
Plugin-System
Philip Becker: Packet SnifferWireshark: Technische Daten 8/ 13
Wireshark: Technische Daten
Lizenz: GPL
Fugt bei vielen Protokollen Metainformationen hinzu
(Vorgefertige) Filter fur verschiedene Protokolle (nicht ganzintuitive Regelsyntax)
Plugin-System
Philip Becker: Packet SnifferWireshark: Technische Daten 8/ 13
Wireshark: Technische Daten
Lizenz: GPL
Fugt bei vielen Protokollen Metainformationen hinzu
(Vorgefertige) Filter fur verschiedene Protokolle (nicht ganzintuitive Regelsyntax)
Plugin-System
Philip Becker: Packet SnifferWireshark: Technische Daten 8/ 13
Wireshark: Technische Daten
Lizenz: GPL
Fugt bei vielen Protokollen Metainformationen hinzu
(Vorgefertige) Filter fur verschiedene Protokolle (nicht ganzintuitive Regelsyntax)
Plugin-System
Philip Becker: Packet SnifferLivedemo 9/ 13
Livedemo
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferRechtliches 10/ 13
Rechtliches
Telekommunikationsgesetz:
Verbietet abhoren”jeglicher Nachrichten“ (nicht naher
definiert)
Eigenes Netzwerk unproblematisch
Offentliches Netzwerk nicht, außer Netzbetreiber erlaubt dies
Unternehmen:
Personenbezogene Daten → PersonalratNetzwerkanalyse unproblematisch, da Nutzdaten in Paketenoft irrelevant
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferSchutzmaßnahmen 11/ 13
Schutzmaßnahmen
Verschlusselung:
HTTPSVPN/SSH in offentlichen Netzen
Exploits ermoglichen MITM-Attacke: Software aktuell halten
Tools:
Sniffdetselbst ein Snifferpruft Traffic auf Anomalien
Metadaten konnen nicht verschlusselt werden
Philip Becker: Packet SnifferFragen 12/ 13
Fragen
Fragen?
Philip Becker: Packet SnifferQuellen 13/ 13
Quellen
Milton Soares Filho Ademar de Souza Reis Jr. “Sniffdet -remote sniffer detector for linux“
S. Ansari, S.G. Rajeev, and H.S. Chandrashekar - IEEE,21(5):17-19, Dec 2002 “Packet sniffng: a briefintroduction“
B. Callaghan and R. Gilligan, RFC 1761 “Snoop Version 2Packet Capture File Format “
Wireshark Foundation, “Frequently Asked Questions “
Wireshark Foundation, “Wireshark Users Guide “
D. Plummer. Ethernet Address Resolution Protocol. RFC826(Standard), November 1982. Updated by RFCs 5227,5494.
M.A. Qadeer, M. Zahid, A. Iqbal, and M.R. Siddiqui. Networktraffic analysis and intrusion detection using packet sniffer. InCommunication Software and Networks, 2010. ICCSN ’10.Second International Conference on, pages 313-317, Feb 2010.
Christian Stobitzer. “Sniffer: Kleine nutzliche viecher.“
