Packetsni er - Uni Koblenz-Landau€¦ · man erh alt jeden ARP Request und kann darauf reagieren Zentgraf Packetsni er 26. Juli 2015 14 / 21. Entdecken von Sni ern Schwierig zu entdecken,

Packetsniffer

Jens Zentgraf

26. Juli 2015

Zentgraf Packetsniffer 26. Juli 2015 1 / 21

Outline1 Was ist ein Packetsniffer?

2 Netzwerkaufbau

3 Aufbau eines SniffersSocketAufarbeitung der DatenWireshark

4 EinsatzmöglichkeitenNetzwerkproblemeAufspüren fremder Tools

5 Gefahren und SchutzAngriffszenarien

Replay-AngriffMan-In-The-Middle

Entdecken von SniffernSchutz

6 Live-Demo


Packetsniffer

Gerät A Gerät B

Angreifer

Telefonabhörgerät

Gerät A kommuniziert mit Gerät B

Angreifer hört das Gespräch mit


Netzwerkaufbau

2 Arten von NetzwerkknotenI Hub

F Leitet alle empfangenen Daten an alle angeschlossenen Geräte weiterF Schnelle WeiterleitungF Hohe Netzwerkauslastung

I SwitchF Empfangene Daten werden nur an das Ziel Gerät weiter gesendetF Hat eine Tabelle, in der jeder MAC-Adresse ein Port zugeteilt wirdF Nutzt das Address Resolution Protocol (ARP) zur Zuordnung


Aufbau eines Sniffers

Aufbau besteht aus 2 Schritten

Erstellen eines Sockets

Aufarbeiten der empfangenen Daten


Definition

Ein Socket ist ein Kommunikationsendpunkt von zwei Programmen, die ineinem Netzwerk laufen. Ein Socket ist an eine Port Nummer gebunden,damit die TCP Ebene die Anwendung identifizieren kann, an die Datengesendet werden.[1]

Flags

promiscuous mode: Es werden alle Daten angenommen, dieempfangen werden

non-promiscuous mode: Es werden nur die Daten angenommen, dieden eigenen Rechner als Ziel haben


Aufbereitung der Daten

Header

: Ermöglicht den Zugriff auf die Daten im IP-Headerder Datei

: Ermöglicht den Zugriff auf die Daten imTCP-Header der Datei

Abbildung: Blau: Ethernet-Header Gelb: IP-Header Grün: TCP-Header[Pos81a, Pos81b, Plu82]


Wireshark


Einsatzmöglichkeiten

Lösen von Netzwerkproblemen

Aufspüren fremder Tools

Aufspüren anderer Sniffer

Angriffe


Netzwerkprobleme

Ein langsames Netzwerk:

Viele Nutzer beschweren sich über eine langsame Verbindung

Der Netzwerkadministrator überprüft mit einem Sniffer denDatenverkehr

Sehr viele Pakete des Real Time Messaging Protocol (Dient zurÜbertragung von Audio- und Videodaten)

Suche wird auf dieses Protokoll eingeschränkt

Überprüfen ob viele Pakete die selbe IP-Adresse als Ziel haben


Aufspüren fremder Tools

Datenverkehr muss häufig analysiert werden

Auffälligkeiten müssen untersucht werdenI Große Daten, die regelmäßig Übertragen werden (Screenshots etc)I Unbekannte IP-Adressen oder Ports


Gefahren und Schutz

Abfangen von Daten (persönliche, Login, ...)

Eindringen in WLAN-Netze

Direkte AngriffsszenarienI Repay-AgriffI Man-In-The-Middle


Replay-Angriff

Authentifizierung umgehen

Mitschneiden der Kommunikation

Die gleichen Pakete an der Server senden

Auf die gleiche Reaktion hoffen (z.B. Anmeldung)

Kann durch Nutzung eines Nonce verhindert werdenIst ein Code, mit dem beispielsweise das Passwort geändert wird


Man-In-the-Middle

ARP ist zustandslos

Der Angreifer sendet einen ARP Reply an den ersten Gerät A mitfolgenden Daten:

I IP-Adresse von Gerät BI Eigene MAC-Adresse

Gleiches Vorgehen bei Gerät B

Beim Empfangen eines Pakets von A für B abspeichern und mitgeänderten Headern weiterleiten.

Alternative: eigene MAC-Adresse auf Broadcast Adresse stellen→man erhält jeden ARP Request und kann darauf reagieren


Entdecken von Sniffern

Schwierig zu entdecken, da passives Verhalten

Schwachstelle: Sniffer nimmt alle Pakete an

Es gibt mehrere Möglichkeiten:


Möglichkeit 1:

Eigene MAC-Adresse ändern

Ein Paket an die alte Adresse senden

Paket wird nicht abgelehnt → Es läuft ein Sniffer


Möglichkeit 2 (Latency Test):

Antwortzeit des zu prüfenden Geräts testen

Zwei Prozesse starten:I Prozess 1: Überflutet das Netzwerk mit Paketen, welche nur von

Netzwerkkarten im promiscuous mode angenommen werdenI Prozess 2: Misst die Antwortzeit des Geräts

Ergebnisse Auswerten:I Großer Unterschied: Hohe Wahrscheinlichkeit für einen SnifferI Geringer Unterschied:

F Geringe Wahrscheinlichkeit für einen SnifferF Gerät hat nicht genug LeistungF Netzwerk wird nicht mit genug Paketen geflutet


Schutz

Netzwerk aus SwitchsI Heutzutage StandardI Leicht zu umgehen: MAC-Adresse ändern, Flooden

VerschlüsselungI Bei Nutzung von WLANs: SSHI Muss aktuell sein WEP nützt wenig


Live Demo


Ungefilterter Datenverkehr


Gefilterter Datenverkehr


What is a Socket.https://docs.oracle.com/javase/tutorial/networking/

sockets/definition.html. –Abgerufen am 26.7.2015

Plummer, David:Ethernet Address Resolution Protocol: Or converting network protocoladdresses to 48. bit Ethernet address for transmission on Ethernethardware.(1982)

Postel, Jon:Internet protocol.(1981), S. 11

Postel, Jon:Transmission control protocol.(1981), S. 15


https://docs.oracle.com/javase/tutorial/networking/sockets/definition.htmlhttps://docs.oracle.com/javase/tutorial/networking/sockets/definition.html

Was ist ein Packetsniffer?NetzwerkaufbauAufbau eines SniffersSocketAufarbeitung der DatenWireshark

EinsatzmöglichkeitenNetzwerkproblemeAufspüren fremder Tools

Gefahren und SchutzAngriffszenarienEntdecken von SniffernSchutz

Live-Demo

Documents

Packetsni er - Uni Koblenz-Landau€¦ · man erh alt jeden ARP Request und kann darauf reagieren Zentgraf Packetsni er 26. Juli 2015 14 / 21. Entdecken von Sni ern Schwierig zu entdecken,