Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Packetsniffer
Jens Zentgraf
26. Juli 2015
Zentgraf Packetsniffer 26. Juli 2015 1 / 21
Outline1 Was ist ein Packetsniffer?
2 Netzwerkaufbau
3 Aufbau eines SniffersSocketAufarbeitung der DatenWireshark
4 EinsatzmöglichkeitenNetzwerkproblemeAufspüren fremder Tools
5 Gefahren und SchutzAngriffszenarien
Replay-AngriffMan-In-The-Middle
Entdecken von SniffernSchutz
6 Live-Demo
Zentgraf Packetsniffer 26. Juli 2015 2 / 21
Packetsniffer
Gerät A Gerät B
Angreifer
Telefonabhörgerät
Gerät A kommuniziert mit Gerät B
Angreifer hört das Gespräch mit
Zentgraf Packetsniffer 26. Juli 2015 3 / 21
Netzwerkaufbau
2 Arten von NetzwerkknotenI Hub
F Leitet alle empfangenen Daten an alle angeschlossenen Geräte weiterF Schnelle WeiterleitungF Hohe Netzwerkauslastung
I SwitchF Empfangene Daten werden nur an das Ziel Gerät weiter gesendetF Hat eine Tabelle, in der jeder MAC-Adresse ein Port zugeteilt wirdF Nutzt das Address Resolution Protocol (ARP) zur Zuordnung
Zentgraf Packetsniffer 26. Juli 2015 4 / 21
Netzwerkaufbau
2 Arten von NetzwerkknotenI Hub
F Leitet alle empfangenen Daten an alle angeschlossenen Geräte weiterF Schnelle WeiterleitungF Hohe Netzwerkauslastung
I SwitchF Empfangene Daten werden nur an das Ziel Gerät weiter gesendetF Hat eine Tabelle, in der jeder MAC-Adresse ein Port zugeteilt wirdF Nutzt das Address Resolution Protocol (ARP) zur Zuordnung
Zentgraf Packetsniffer 26. Juli 2015 4 / 21
Aufbau eines Sniffers
Aufbau besteht aus 2 Schritten
Erstellen eines Sockets
Aufarbeiten der empfangenen Daten
Zentgraf Packetsniffer 26. Juli 2015 5 / 21
Definition
Ein Socket ist ein Kommunikationsendpunkt von zwei Programmen, die ineinem Netzwerk laufen. Ein Socket ist an eine Port Nummer gebunden,damit die TCP Ebene die Anwendung identifizieren kann, an die Datengesendet werden.[1]
Flags
promiscuous mode: Es werden alle Daten angenommen, dieempfangen werden
non-promiscuous mode: Es werden nur die Daten angenommen, dieden eigenen Rechner als Ziel haben
Zentgraf Packetsniffer 26. Juli 2015 6 / 21
Definition
Ein Socket ist ein Kommunikationsendpunkt von zwei Programmen, die ineinem Netzwerk laufen. Ein Socket ist an eine Port Nummer gebunden,damit die TCP Ebene die Anwendung identifizieren kann, an die Datengesendet werden.[1]
Flags
promiscuous mode: Es werden alle Daten angenommen, dieempfangen werden
non-promiscuous mode: Es werden nur die Daten angenommen, dieden eigenen Rechner als Ziel haben
Zentgraf Packetsniffer 26. Juli 2015 6 / 21
Aufbereitung der Daten
Header
: Ermöglicht den Zugriff auf die Daten im IP-Headerder Datei
: Ermöglicht den Zugriff auf die Daten imTCP-Header der Datei
Abbildung: Blau: Ethernet-Header Gelb: IP-Header Grün: TCP-Header[Pos81a, Pos81b, Plu82]
Zentgraf Packetsniffer 26. Juli 2015 7 / 21
Aufbereitung der Daten
Header
: Ermöglicht den Zugriff auf die Daten im IP-Headerder Datei
: Ermöglicht den Zugriff auf die Daten imTCP-Header der Datei
Abbildung: Blau: Ethernet-Header Gelb: IP-Header Grün: TCP-Header[Pos81a, Pos81b, Plu82]
Zentgraf Packetsniffer 26. Juli 2015 7 / 21
Wireshark
Zentgraf Packetsniffer 26. Juli 2015 8 / 21
Einsatzmöglichkeiten
Lösen von Netzwerkproblemen
Aufspüren fremder Tools
Aufspüren anderer Sniffer
Angriffe
Zentgraf Packetsniffer 26. Juli 2015 9 / 21
Netzwerkprobleme
Ein langsames Netzwerk:
Viele Nutzer beschweren sich über eine langsame Verbindung
Der Netzwerkadministrator überprüft mit einem Sniffer denDatenverkehr
Sehr viele Pakete des Real Time Messaging Protocol (Dient zurÜbertragung von Audio- und Videodaten)
Suche wird auf dieses Protokoll eingeschränkt
Überprüfen ob viele Pakete die selbe IP-Adresse als Ziel haben
Zentgraf Packetsniffer 26. Juli 2015 10 / 21
Aufspüren fremder Tools
Datenverkehr muss häufig analysiert werden
Auffälligkeiten müssen untersucht werdenI Große Daten, die regelmäßig Übertragen werden (Screenshots etc)I Unbekannte IP-Adressen oder Ports
Zentgraf Packetsniffer 26. Juli 2015 11 / 21
Gefahren und Schutz
Abfangen von Daten (persönliche, Login, ...)
Eindringen in WLAN-Netze
Direkte AngriffsszenarienI Repay-AgriffI Man-In-The-Middle
Zentgraf Packetsniffer 26. Juli 2015 12 / 21
Replay-Angriff
Authentifizierung umgehen
Mitschneiden der Kommunikation
Die gleichen Pakete an der Server senden
Auf die gleiche Reaktion hoffen (z.B. Anmeldung)
Kann durch Nutzung eines Nonce verhindert werdenIst ein Code, mit dem beispielsweise das Passwort geändert wird
Zentgraf Packetsniffer 26. Juli 2015 13 / 21
Replay-Angriff
Authentifizierung umgehen
Mitschneiden der Kommunikation
Die gleichen Pakete an der Server senden
Auf die gleiche Reaktion hoffen (z.B. Anmeldung)
Kann durch Nutzung eines Nonce verhindert werdenIst ein Code, mit dem beispielsweise das Passwort geändert wird
Zentgraf Packetsniffer 26. Juli 2015 13 / 21
Replay-Angriff
Authentifizierung umgehen
Mitschneiden der Kommunikation
Die gleichen Pakete an der Server senden
Auf die gleiche Reaktion hoffen (z.B. Anmeldung)
Kann durch Nutzung eines Nonce verhindert werdenIst ein Code, mit dem beispielsweise das Passwort geändert wird
Zentgraf Packetsniffer 26. Juli 2015 13 / 21
Man-In-the-Middle
ARP ist zustandslos
Der Angreifer sendet einen ARP Reply an den ersten Gerät A mitfolgenden Daten:
I IP-Adresse von Gerät BI Eigene MAC-Adresse
Gleiches Vorgehen bei Gerät B
Beim Empfangen eines Pakets von A für B abspeichern und mitgeänderten Headern weiterleiten.
Alternative: eigene MAC-Adresse auf Broadcast Adresse stellen→man erhält jeden ARP Request und kann darauf reagieren
Zentgraf Packetsniffer 26. Juli 2015 14 / 21
Entdecken von Sniffern
Schwierig zu entdecken, da passives Verhalten
Schwachstelle: Sniffer nimmt alle Pakete an
Es gibt mehrere Möglichkeiten:
Zentgraf Packetsniffer 26. Juli 2015 15 / 21
Möglichkeit 1:
Eigene MAC-Adresse ändern
Ein Paket an die alte Adresse senden
Paket wird nicht abgelehnt → Es läuft ein Sniffer
Zentgraf Packetsniffer 26. Juli 2015 16 / 21
Möglichkeit 2 (Latency Test):
Antwortzeit des zu prüfenden Geräts testen
Zwei Prozesse starten:I Prozess 1: Überflutet das Netzwerk mit Paketen, welche nur von
Netzwerkkarten im promiscuous mode angenommen werdenI Prozess 2: Misst die Antwortzeit des Geräts
Ergebnisse Auswerten:I Großer Unterschied: Hohe Wahrscheinlichkeit für einen SnifferI Geringer Unterschied:
F Geringe Wahrscheinlichkeit für einen SnifferF Gerät hat nicht genug LeistungF Netzwerk wird nicht mit genug Paketen geflutet
Zentgraf Packetsniffer 26. Juli 2015 17 / 21
Möglichkeit 2 (Latency Test):
Antwortzeit des zu prüfenden Geräts testen
Zwei Prozesse starten:I Prozess 1: Überflutet das Netzwerk mit Paketen, welche nur von
Netzwerkkarten im promiscuous mode angenommen werdenI Prozess 2: Misst die Antwortzeit des Geräts
Ergebnisse Auswerten:I Großer Unterschied: Hohe Wahrscheinlichkeit für einen SnifferI Geringer Unterschied:
F Geringe Wahrscheinlichkeit für einen SnifferF Gerät hat nicht genug LeistungF Netzwerk wird nicht mit genug Paketen geflutet
Zentgraf Packetsniffer 26. Juli 2015 17 / 21
Möglichkeit 2 (Latency Test):
Antwortzeit des zu prüfenden Geräts testen
Zwei Prozesse starten:I Prozess 1: Überflutet das Netzwerk mit Paketen, welche nur von
Netzwerkkarten im promiscuous mode angenommen werdenI Prozess 2: Misst die Antwortzeit des Geräts
Ergebnisse Auswerten:I Großer Unterschied: Hohe Wahrscheinlichkeit für einen SnifferI Geringer Unterschied:
F Geringe Wahrscheinlichkeit für einen SnifferF Gerät hat nicht genug LeistungF Netzwerk wird nicht mit genug Paketen geflutet
Zentgraf Packetsniffer 26. Juli 2015 17 / 21
Schutz
Netzwerk aus SwitchsI Heutzutage StandardI Leicht zu umgehen: MAC-Adresse ändern, Flooden
VerschlüsselungI Bei Nutzung von WLANs: SSHI Muss aktuell sein WEP nützt wenig
Zentgraf Packetsniffer 26. Juli 2015 18 / 21
Live Demo
Zentgraf Packetsniffer 26. Juli 2015 19 / 21
Ungefilterter Datenverkehr
Zentgraf Packetsniffer 26. Juli 2015 20 / 21
Gefilterter Datenverkehr
Zentgraf Packetsniffer 26. Juli 2015 21 / 21
What is a Socket.https://docs.oracle.com/javase/tutorial/networking/
sockets/definition.html. –Abgerufen am 26.7.2015
Plummer, David:Ethernet Address Resolution Protocol: Or converting network protocoladdresses to 48. bit Ethernet address for transmission on Ethernethardware.(1982)
Postel, Jon:Internet protocol.(1981), S. 11
Postel, Jon:Transmission control protocol.(1981), S. 15
Zentgraf Packetsniffer 26. Juli 2015 21 / 21
https://docs.oracle.com/javase/tutorial/networking/sockets/definition.htmlhttps://docs.oracle.com/javase/tutorial/networking/sockets/definition.html
Was ist ein Packetsniffer?NetzwerkaufbauAufbau eines SniffersSocketAufarbeitung der DatenWireshark
EinsatzmöglichkeitenNetzwerkproblemeAufspüren fremder Tools
Gefahren und SchutzAngriffszenarienEntdecken von SniffernSchutz
Live-Demo