Warum kann ein Paket-Sniffer in einem Ethernet-LAN ​​alle über das LAN gesendeten Pakete abrufen?

7

Warum kann ein Paket-Sniffer in einem Ethernet-LAN ​​alle über das LAN gesendeten Pakete abrufen?

In einer begrenzten Broadcast-Umgebung, wie in vielen Ethernet-LANs, kann ein Paket-Sniffer alle über das LAN gesendeten Pakete abrufen.

Wir wissen, wenn es ein Wi-Fi-Netzwerk gibt, können wir einen Paket-Sniffer verwenden, um die Pakete abzufangen, aber wie wäre es mit einem kabelgebundenen Ethernet-LAN?

ethernet Junge
quelle
7
Können Sie uns mitteilen, woher dieses Zitat stammt?
user3629081

Antworten:

20

Im klassischen (veralteten) Ethernet wurden Shared Wire- oder Repeater-Hubs verwendet. Jeder Knoten empfängt also physisch jeden Frame, der innerhalb der Broadcast- (und Kollisions-) Domäne gesendet wird. Frames, die empfangen werden, aber nicht an die MAC-Adresse einer Netzwerkkarte adressiert sind, werden ignoriert (gelöscht).

In den letzten zwei Jahrzehnten ist Shared Wire oder wiederholtes Ethernet veraltet. Bei Switched Ethernet wird jeder Frame nur in Richtung seines Ziels weitergeleitet. Um auf eine Ethernet-Kommunikation zugreifen zu können, müssen Sie den Quell- oder Zielport direkt oder über die Portspiegelung (auch bekannt als Portüberwachung oder SPAN) [nach Kommentaren bearbeiten] und den Promiscuous-Modus auf der Erfassungs-Netzwerkkarte abhören. [/ Edit]

Zac67
quelle
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde in den Chat verschoben .
Ron Maupin
7

Warum kann ein Paket-Sniffer in einem Ethernet-LAN ​​alle über das LAN gesendeten Pakete abrufen?

Das ist nicht unbedingt wahr. In Switched Ethernet (modernen Netzwerken) können Sie nur die Ethernet-Frames abhören, die an die Switch-Schnittstelle gesendet werden, an die Ihr Monitorgerät angeschlossen ist. Dies kann auf verschiedene Arten geschehen:

  • Broadcast-Frames werden an alle anderen Schnittstellen gesendet
  • Multicast-Frames werden ohne IGMP-Snooping an alle anderen Schnittstellen gesendet
  • Unbekannte Unicast-Frames werden an alle anderen Schnittstellen gesendet
  • Einige Switches können so konfiguriert werden, dass alle Frames auf eine Schnittstelle gespiegelt werden

Abgesehen von den oben genannten werden nur an Ihr Monitorgerät adressierte Frames an die Schnittstelle gesendet, an die es angeschlossen ist.

Wenn Sie VLANs verwenden, können nur Frames im selben VLAN die Schnittstelle erreichen, an die Ihr Monitorgerät angeschlossen ist. Um Datenverkehr von einem VLAN zu einem anderen VLAN zu erhalten, ist ein Router erforderlich, der die Frames von den Paketen entfernt, um die Pakete weiterzuleiten, und neue Frames für die nächste Router-Schnittstelle erstellt.

Ron Maupin
quelle
Befindet sich das Gerät im Standard- / Verwaltungs-VLAN oder in einem Full-Trunk-VLAN (wie beim Stapeln von Switches; obwohl dies wahrscheinlich zu Problemen führen würde, wenn Sie damit beginnen würden, MAC / ARP / ND-Antworten darauf zu fälschen), könnte das Sniffing-Gerät alle hören VLAN. Auch passive NSAs (speziell für SPI / IDS / etc.) Verwenden eine passive ARP-Cache-Vergiftung speziell zum Abrufen von Paketen, die für andere Netzwerksegmente bestimmt sind. Außerdem können WAN-Geräte mit erweiterter Sicherheit so konfiguriert werden, dass alle ARP-Caches absichtlich vergiftet werden, sodass der gesamte Datenverkehr durch sie geleitet wird, auch wenn sie für dasselbe Segment bestimmt sind
Dylan Bennett,
3
Ihr Kommentar hat wirklich nichts mit dem Anschließen eines Sniffers an ein kabelgebundenes Netzwerk zu tun. Die Frage geht davon aus, dass der Sniffer dabei alle Frames sieht, aber das ist in einem Switched Network nicht wirklich der Fall. Sie scheinen die Frage zu überdenken, die auf einem Text basiert, der Koax-Ethernet oder die Verwendung von Hubs voraussetzt, die praktisch ausgestorben sind. Das OP brauchte lediglich eine Anleitung, um zu erklären, dass dies nicht mehr der Fall ist.
Ron Maupin
0

Dies wird durch eine der wenigen möglichen Methoden erreicht ...

Bei weitem ist es am gebräuchlichsten, die Schnittstelle in den Promiscuous-Modus zu versetzen. Fast alle Netzwerkkarten können in den Promiscuous-Modus versetzt werden. Dies entfernt den "Filter", der Pakete ignoriert, die nicht für seine Schnittstelle bestimmt sind. Dies muss auch für eine drahtlose Schnittstelle erfolgen, um "Gespräche" im Netzwerk "abhören" zu können. Eine drahtlose Karte kann auch in den Überwachungsmodus versetzt werden, der sich vom Promiscuous-Modus dadurch unterscheidet, dass die drahtlose Schnittstelle keinem AP, Ad-Hoc oder einer anderen einzelnen drahtlosen Schnittstelle zugeordnet ist, sondern auf alle entschlüsselbaren Pakete in den Luftwellen wartet ( Beachten Sie, dass, wenn ein AP über WEP / WPA (2) verschlüsselt wird, die im Überwachungsmodus auf einer drahtlosen Karte von Geräten, die Teil dieses WLANs sind, empfangenen Pakete nicht entschlüsselbar sind (obwohl möglicherweise einige Informationen erhalten werden, die beim "Knacken" helfen können)

Zurück zum Promiscuous-Modus in Ethernet ... Obwohl die Technik einfach ist und keine speziellen Dienstprogramme (zumindest unter Linux) oder Änderungen an der Netzwerktopologie / am Abgriffspunkt (an dem das Gerät angeschlossen ist) erfordert, gibt es jedoch einige Einschränkungen. Dies sind: 1) Die Netzwerkkarte kann nur Datenverkehr in ihrem Netzwerksegment aufnehmen. Ein Ethernet-Hub ähnelt einem Koaxial- (Kabel-) Splitter. Er leitet Pakete einfach an alle Schnittstellen weiter (mit Ausnahme der Schnittstelle, auf der das Paket empfangen wurde). Wenn eine Ethernet-Karte mit einem Hub verbunden ist, werden im Promiscuous-Modus (Promisc-Modus) Pakete an jedes Gerät gesendet, das an denselben Hub angeschlossen ist. Wenn das Netzwerk mehrere Hubs in Reihe hat, sieht die Netzwerkkarte den gesamten Datenverkehr für dieses Segment, bis ein intelligentes Weiterleitungsgerät wie ein Switch oder ein Router erreicht wurde.

Alle Netzwerkkarten empfangen weiterhin Broadcast-Pakete (Pakete, die wahllos im gesamten Netzwerk gesendet werden - normalerweise zur Netzwerksteuerung und zur Hosterkennung) und können im Promiscuous-Modus alle Multicast-Pakete empfangen, auch wenn die Netzwerkkarte nicht zur Multicast-Gruppe gehört. Bei korrekter Konfiguration und Aktivierung können auch alle Anycast-Pakete (ähnlich wie Broadcast, jedoch für Nicht-Netzwerksteuerungsprotokolle und im Allgemeinen in Mehrzweck-WAN-Netzwerken wie Kabel / Breitband, die dasselbe Medium verwenden) empfangen werden in einigen Fällen auch Simulcast-Pakete (Pakete, die an verschiedene Hosts gestreamt werden). Broadcast- und Multicast-Pakete (Multicast-Pakete sind hauptsächlich für das IGMP-Internet-Gruppenverwaltungsprotokoll vorgesehen) können bei korrekter Analyse ein ziemlich genaues Bild der Netzwerktopologie liefern. Zusätzlich, Wenn Sie die Netzwerk-Broadcast-Adresse anpingen (fast immer die letzte IP des Netzwerks; das Flag -b ist unter Linux erforderlich und schlägt normalerweise unter Windows fehl), erhält Ihr Gerät von jedem Computer eine Antwort (der nicht so konfiguriert ist, dass er nicht auf Broadcast reagiert Pings und, falls nicht durch eine Regel auf einem NSA blockiert) im Netzwerk. Wenn im Netzwerk mehrere Netzwerke gleichzeitig vorhanden sind, kann das Pingen der Adresse "allcast" (255.255.255.255) eine Antwort von Geräten in einem anderen Subnetz verhindern, wenn sich die Netzwerkkarte im Promiscuous-Modus befindet.

Um den gesamten Datenverkehr in einem Ethernet-Netzwerk zu empfangen

Dies wird je nach Netzwerkinfrastruktur etwas komplizierter, und es gibt einige Möglichkeiten, um Erfolg zu haben.

Wie bereits erwähnt, besteht ein Netzwerk nur aus "dummen" Hubs und einem einzelnen Segment (entweder über ein stationloses / routerloses / WAN-isoliertes Ad-hoc-Netzwerk miteinander verbundener Geräte oder über eine einzelne WAN-zu-LAN-Brücke, die in eine eingespeist wird Mesh von "dummen" Hubs), dann reicht es aus, die Netzwerkkarte einfach in den Promiscuous-Modus zu versetzen. Wenn das Netzwerk aus einer unterschiedlichen Topologie besteht und eher Switches als Hubs verwendet, ist dies ein weitaus komplexerer Prozess. Zunächst sollte die Netzwerkkarte in den Promiscuous-Modus versetzt werden. Dann muss eine Entscheidung basierend auf der Netzwerkhardware und -topologie getroffen werden.

Optionen

1) Stellen Sie sich ein kommerzielles Standardnetzwerk vor, das aus einem mit dem ISP verbundenen WAN-Gerät besteht (häufig als "Modem" oder "Router" bezeichnet). In der Regel handelt es sich bei dem Gerät jedoch tatsächlich um ein NAT-Gerät, mit dem viele interne Geräte nur ein einzelnes oder ein einzelnes Gerät gemeinsam nutzen können Nur wenige öffentliche IP-Adressen in IPv6-Netzwerken führen diese Geräte normalerweise IGMPv6-Routing durch, dies geht jedoch über den Rahmen dieser Beschreibung hinaus. Mit dem WAN-Gerät ist ein intelligentes, verwaltetes (konfigurierbares) Haupt-L3-Gerät (häufig mit einigen L4-Routing-Funktionen) verbunden ) Schalter. Ethernet erstreckt sich vom Haupt-Switch bis zu verschiedenen Abteilungen oder Etagen, in denen häufig nicht verwaltete Switches (einfache L2-Switches, manchmal mit L3-Filterfunktionen) vorhanden sind, die mit jedem Computer, Drucker, drahtlosen Zugriffspunkt usw. verbunden sind. Wenn Sie Administratorzugriff auf den Haupt-Switch haben ...Es ist möglich, die sogenannte Portspiegelung zu aktivieren. Abhängig von der Konfiguration können Sie möglicherweise einen einzelnen "Tap" -Port erstellen, an den der gesamte Datenverkehr für andere Ports weitergeleitet wird. Dies ist bei weitem die effektivste Methode seit JEDEMDas Paket im Netzwerk fließt zu Ihrer promiskuitiven Netzwerkkarte und kann mit einem Programm wie Wireshark erfasst werden. Diese Methode umgeht auch Sicherheitsprotokolle, die möglicherweise in Ihrem Netzwerk vorhanden sind und andere mögliche Methoden blockieren könnten, z. B. Arp-Spoofing, auf das ich gleich eingehen werde. Manchmal unterstützen Switches (normalerweise verwaltete Switches am unteren Ende) jeweils nur die Spiegelung eines einzelnen Ports. In diesem Fall sollte das Klonen des Ports auf dem mit dem WAN-Gerät verbundenen Switch den größten Teil des Datenverkehrs bereitstellen, da davon ausgegangen werden kann, dass der meiste Datenverkehr besteht ist auf dem Weg ins Internet, und selbst wenn nicht, ist das WAN-Gerät (in einem komplexen Netzwerk) häufig ein zentraler Multiprotokoll-Router und empfängt standardmäßig fast alle Pakete. Ein weiterer einzelner Port zum Klonen, wenn zwei Switches "gestapelt" sind. (Das heißt, sie sind über einen Trunk miteinander verbunden, um als einzelner virtueller Switch zu dienen, um eine größere Kapazität zu unterstützen.) Das Spiegeln eines / des Trunk-Ports ist eine gute Option (dies umgeht auch bestimmte Verschlüsselungssicherheitsverschlüsselungen, wenn das Netzwerk in VLANs unterteilt ist.) da der Trunk alle VLANs trägt). In diesem Sinne muss möglicherweise auch sichergestellt werden, dass beim Erstellen eines universellen Spiegels (eines Ports, der den gesamten Datenverkehr über den Switch weiterleitet) Ihre Netzwerkkarte möglicherweise so konfiguriert werden muss, dass das Standard-VLAN / Trunk-VLAN (VLAN, das alle anderen Daten enthält) verwendet wird VLANs) sowie Promiscuous-Modus. Beachten Sie, dass dies wahrscheinlich auch Ihr Netzwerk stark belastet. Daher sollte es nur für Debugging- oder verwandte Zwecke verwendet werden.

2) Eine weitere praktikable Option besteht darin, das Netzwerk mechanisch zu "tippen". Dies kann erreicht werden, indem ein Netzwerk-Hub zwischen einem bestimmten Segment des Netzwerks platziert wird (entweder entlang des Trunks von zwei gestapelten Switches, zwischen dem Haupt-Switch und dem WAN oder zwischen dem ISP und dem WAN. Dies sind alles mögliche Optionen - obwohl dies auf NAT-Protokolle zurückzuführen ist Wenn Sie zwischen WAN und ISP wechseln, kann es schwierig sein, festzustellen, welches Paket von welchem ​​Gerät stammt. Verbinden Sie das Segment einfach mit dem Hub in der Mitte, indem Sie zwei zusätzliche Ethernet-Kabel verwenden - eines zu Ihrem Abhörgerät und eines zur Vervollständigung der ursprünglichen Verbindung (Sie MÜSSEN FÜR DIESEN NABEN EINEN NABEN VERWENDEN, KEINEN SCHALTER). Es gibt ein speziell dafür entwickeltes Gerät, das einige zusätzliche Vorteile bietet, indem es Leckagen an Ihrem Gerät verhindert und Ihr Schnüffeln verborgen hält. Verhindern von Signal- und Geschwindigkeitsverschlechterungen bei der ursprünglichen Verbindung und Filtern von VLAN-Headern, um die Konfiguration zu vereinfachen - es wurde für Wireshark entwickelt und ich glaube, Sie finden es auf ihrer Website - ich denke, es heißt "Shark-Tap" oder so ähnlich. Es ist allerdings ziemlich teuer und nicht unbedingt erforderlich. Dies kann auch über 2 überbrückte Netzwerkkarten auf demselben Computer erreicht werden, die als Rogue-Switch oder Router konfiguriert werden könnenPakete anziehen , aber dafür schlage ich vor, dass Sie sich einige Tutorials ansehen (sehr ähnlich der Verwendung von zwei drahtlosen Netzwerkkarten zum Erstellen einer MITM-Siruation).

3) Als nächstes haben wir eine Option, die keine Änderung der vorhandenen Netzwerkinfrastruktur erfordert. Abhängig von der Sicherheit Ihres Netzwerks müssen möglicherweise drei halbbezogene Taktiken in Verbindung angewendet werden. Auch hier ist ein promiskuitiver Modus erforderlich. Das erste heißt ARP-Spoofing. Dies ist in den meisten Heim- und einfacheren Unternehmensnetzwerken sehr effektiv, wird jedoch durch Anti-Intrusion- / Datenschutz-Technologien schnell erkannt - insbesondere in einem hoch entwickelten intelligenten Netzwerk, in dem jeder Switch miteinander kommunizieren kann. Wie bereits erwähnt, funktionieren Switches mithilfe des ARP-Protokolls für IPv4 und ND für IPv6. IPv4 ist nach wie vor die Haupttechnologie für die Adressierung in LANs (vor allem aufgrund der Tatsache, dass Netzwerktechniker auf ihre Art und Weise eingestellt sind und die Untervermietung von IPv6 viel schwieriger ist). IPv4-Adressen sind in der Regel auch viel einfacher zu merken. Daher ist die Verwendung von ARP-Spoofing in der Regel ausreichend (auch ND-Spoofing ist möglich und verwendet ähnliche Konzepte). Es gibt mehrere Programme, die Arp-Spoofing ausführen können (fast alle Linux-Befehlszeilen, Sie können das Thema nach Tutorials durchsuchen). ARP ist ein Protokoll, das in Computern und (vor allem für diese Anwendung) Switches verwendet wird, um MAC (physische Adressen) mit IPv4-Adressen zu verknüpfen. Das Protokoll ist einfach: In Abwesenheit von IGMP wird hauptsächlich die Subnetz-Broadcast-Adresse verwendet, ein Anforderungspaket wird in Form von "Wer hat [IP-Adresse]? Sagen Sie [meine IP-Adresse]" als Antwort gesendet. Normalerweise antwortet der Haupt-Switch oder das Gerät mit der angeforderten IP (es kann sich jedoch um jedes Gerät im Netzwerk handeln, das die Antwort kennt) mit [der gesuchten IP] unter [MAC-Adresse]. Wenn keine Antwort empfangen wird, wird ein Paket in der Standardübertragung 255.255.255.255 gesendet. In einigen Fällen wird der Platzhalter 0.0.0.0 abgefragt, wobei auch IGMP, standortlokale und netzlokale Adressen abgefragt werden. Darüber hinaus haben einige Betriebssysteme die Anforderung an das Standard-Gateway oder den Standard-Switch gesendet. Beim ARP-Spoofing werden alle ARP-Anfragen autorisierend beantwortet. Darüber hinaus werden ARP-Antworten aggressiv und bei aktiviertem IGMP im Netzwerk an alle IGMP-Schnittstellen und alle Broadcast-Adressen (falls mehrere Subnetze vorhanden sind) sowie an das Standard-Gateway (falls gewünscht) und / oder den Standard-Switch gesendet . Dies führt zu einer sogenannten ARP-Cache-Vergiftung. Das ist, Die Netzwerksteuerungsgeräte (Switches, Router, Gateways) zeigen jetzt entweder nur auf Sie, wenn Sie versuchen, mit anderen bestimmten Geräten zu kommunizieren, oder nehmen wünschenswerterweise eine Netzwerkschleife oder einen Fehler an und greifen auf ein hubartiges Verhalten zurück, dh alle Pakete, die für alle anderen bestimmt sind Netzwerkgeräte werden auch direkt an Sie / Ihr Netzwerksegment gesendet. Das Verfahren ist an seinen Wurzeln leicht zu verstehen. Dann kümmert sich der Promiscuous-Modus um den Rest und Sie können alle Gespräche hören. Es ist auch möglich, sich nur als Hauptvermittler oder nur als WAN-Gerät auszugeben, das in den meisten Fällen 90% der Pakete empfängt, die das Netzwerk durchlaufen. Die Ausnahme bilden Protokolle, die IPv6 verwenden (und einige seltene IPv4-Protokolle, für die normalerweise IPv6 erforderlich ist) Schaffung temporärer Punkt-zu-Punkt-Verbindungen, Während IPv6 zu diesem Zweck immer lokale Link-Fe80-Adressen herstellt, um die Netzwerkinfrastruktur (wenn sie sich im selben Segment befindet) zu umgehen und direkt miteinander zu kommunizieren. Ein Beispiel hierfür ist das Appletalk-Protokoll für die Kommunikation und Dienste zwischen Mac-Computern im selben Netzwerksegment.

Das Problem ist, dass fortgeschrittenere Netzwerkhardware, insbesondere wenn eine Netzwerkfirewall oder ein fortgeschrittener NSA vorhanden ist oder das primäre WAN-Gerät ist oder sich zwischen dem Netzwerk- / Haupt-Switch und dem WAN befindet (wie dies in vielen Situationen der Fall ist), dieses Gerät wird Erkennen Sie häufig den Sniffing-Versuch und blockieren Sie als Reaktion darauf automatisch den gesamten Datenverkehr zum angegebenen MAC (phy) oder IPv4, fahren Sie das Segment vollständig herunter oder ignorieren Sie einfach den neu angekündigten Standort, der in einem Desktop-Netzwerk, in dem sich die Position eines Computers befindet, gut funktioniert Es ist unwahrscheinlich, dass sich dies ändert (dies wäre bei einem durchschnittlichen Heim-Setup unwahrscheinlich, bei dem der Datenverkehr einfach an beide Geräte weitergeleitet / umgeschaltet wird). Aufgrund des Roamings für drahtlose Zugriffspunkte kann ein Gerät jedoch von Segment zu Segment springen. Oft schneller als die Aktualisierung der APR-Caches (Benutzer konfiguriert auf verwalteten Switches und statisch auf nicht verwalteten Switches, von 30 Sekunden oder weniger für ein stark drahtloses Netzwerk bis zu 60 Sekunden für eine gemischte Umgebung, bis zu einer halben Stunde oder länger für ein Netzwerk, das sich selten ändert - Kürzere Zeitüberschreitungen werden aufgrund der schnelleren Failover-Toleranz und des weniger fehlgeleiteten Datenverkehrs bevorzugt, aber längere Zeiträume können den Overhead des ARP-Protokolls in statischen Ethernets sparen. Dies wird auch weniger problematisch, wenn sich die Hauptsicherheits-Appliance am Haupt-Switch oder an WAN- und miteinander verbundenen, nicht verwalteten Switches befindet, die den Datenverkehr in großen Segmenten leiten. In diesem Fall kann eine ARP-Vergiftung einfach einen großen Teil des Netzwerks betreffen, ohne ein Sicherheitsgerät auszulösen. Andere Faktoren beeinflussen dies, wie Protokolle wie STP (über drei Protokolle), Hiermit wird die Netzwerktopologie aktualisiert, die Switches im Falle einer Topologieänderung bekannt ist (z. B. wenn ein Switch von einem Port auf einen anderen verschoben wird). In falsch konfigurierten Netzwerken mit STP und IGMP wird durch einfaches Trennen eines Geräts und Anschließen an einen anderen Switch-Port eine sogenannte IGMP-Flut ausgelöst, die dazu führt, dass sich alle Switches bis zum ARP ähnlich wie "dumme" Hubs verhalten Der Cache wird geräteübergreifend synchronisiert. Während dieser Zeit wird der gesamte Datenverkehr auf allen Schnittstellen für einen Zeitraum sichtbar, der normalerweise dem maximalen ARP-Cache-Timeout des Geräts entspricht.

Zusätzlich oder in Verbindung mit ARP-Spoofing / Cache-Vergiftung kann manchmal MAC-Spoofing eingesetzt werden, um Sicherheits-Appliances zusammen mit ARP-Cache-Vergiftungen zu täuschen, oder einfach allein. Eine gute Taktik wäre es, den MAC (Macchanger-Befehl unter Linux) des WAN-Geräts zu klonen. Dies ist oft eine vielversprechende Technik. Manchmal reicht es aus, Ihre IP auf eine statische IP zu setzen, die mit Ihrem Ziel identisch ist, um Routing-Protokolle zum Senden von Datenverkehr zu verleiten, der nicht für Sie bestimmt ist. Dies kann zusätzlich zum ARP-Spoofing von Vorteil sein. Das Klonen Ihres Hostnamens kann dazu beitragen, eine Erkennung zu vermeiden.

Wenn Ihr Ziel darin besteht, einen einzelnen Zielcomputer zu debuggen (oder auszuspionieren), ist es wahrscheinlich am besten, alles, was hier besprochen wird, nach besten Kräften zu kombinieren. Versuchen Sie, Ihr Abhörgerät in das Netzwerksegment des Zielgeräts zu stellen. Dann brauchen Sie nur noch den Promiscuous-Modus zu aktivieren. Wenn dies keine Option ist, versuchen Sie, vom Hauptschalter aus mindestens dasselbe Segment wie Ihr Ziel zu erreichen, und verwenden Sie weniger aggressives ARP-Spoofing / Cache-Vergiftung und / oder MAC-Klonen (möglicherweise auch das Klonen der IP, obwohl eine Schnittstelle promiskuitiv ist Der Modus sollte keine zugewiesene IP benötigen. Dies kann dazu führen, dass beide Geräte aus dem Netzwerk verdrängt werden. Wenn alles andere fehlschlägt, verwenden Sie eine aggressive ARP-Vergiftung. Denken Sie auch daran, dass es möglich ist, ARP-Spoofing für ein einzelnes Ziel durchzuführen, wodurch der Cache eines Computers beschädigt wird. Dadurch werden Pakete an Sie gesendet, anstatt das beabsichtigte Ziel. Diese Art der aktiven ARP-Vergiftung funktioniert am besten, wenn Sie Pakete aktiv an die beabsichtigte Deatination weiterleiten - oder Ihr Gerät einfach nicht reagiert, was dazu führt, dass das Opfer denkt, dass die Verbindung unterbrochen ist, obwohl mehrere Einträge vorhanden sind oder widersprüchliche Antworten auf eine empfangen werden Bei einer ARP-Anforderung ist es normal, dass das Gerät Pakete an alle Geräte sendet. Dasjenige, das antwortet, wird zum semipermanenten Cache-Eintrag, während der fehlerhafte Eintrag je nach System häufig für einen bestimmten Zeitraum auf der schwarzen Liste steht. Daher wird MITM ( Mann in der Mitte) Weiterleitung ist Beat-Übung.

Wenn Ihr Ziel beim einfachen Debuggen eines Netzwerks durch einfaches Versetzen Ihrer Ethernet-Karte in den Promiscuous-Modus viele Informationen über Ihr Netzwerk ermöglicht, werden fast alle Netzwerksteuerungsnachrichten angezeigt, und Sie erhalten eine gute Vorstellung davon, um welche Geräte es sich handelt am aktivsten und sehen einige Unicast-Pakete, die gesendet werden, bevor eine Geräte-ARP-Tabelle gefüllt wird. Dies erfordert kein Spoofing und ist in Wireshark vollautomatisiert und kann mit ifconfig { sudo ifconfig eth# mode promisc' orsudo ifconfig eth # promisc '(wenn ich richtig denke)} unter Linux durchgeführt werden. Wenn dies unterstützt wird, kann auch der Anycast-Empfang aktiviert werden.

Es sollte beachtet werden, dass abhängig von der Firmware Ihrer Netzwerkkarte die installierten Treiber, wenn Sie Win oder Linux usw. verwenden, das einfache Aktivieren des Promiscuous-Modus auf dem Adapter häufig eine Form des passiven ARP-Spoofing ermöglicht, um den Empfang aller (oder der meisten) zu ermöglichen , zumindest in Ihrem Segment) Unicast-Pakete. Die Verwendung einer aktiven, aggressiven ARP-Cache-Vergiftung ist jedoch weitaus effektiver, wenn die Überwachung des gesamten Datenverkehrs in allen Netzwerksegmenten von einem Remote-Netzwerksegment aus erforderlich ist. Es kann nicht garantiert werden, dass ARP-Aktivitäten ausgeführt werden. Ermöglichen Sie jedoch nur den Empfang aller Pakete, die über die Leitung übertragen werden

Beachten Sie, dass viele Security Appliances darauf angewiesen sind, dass eine ARP-Cache-Vergiftung in das Netzwerk eingefügt wird und der gesamte eingehende Datenverkehr passiv abgehört wird, um ungewöhnliche Muster und Auslösealarme zu erkennen, und dass ein aggressiv wanderndes WiFi-Gerät ständig schneller mit APs in verschiedenen Segmenten verbunden werden kann als das Das Zeitlimit für den ARP-Cache wird aus Sicht der Netzwerksteuerung an zwei Standorten angezeigt, obwohl es nichts Bösartiges bewirkt. Die meisten Netzwerkhardware-Geräte ermöglichen ARP-Spoofing, es sei denn, es wird in Hochsicherheitsumgebungen manuell deaktiviert (und selbst dann ist dies ein Kompromiss Wenn Sie den MAC eines solchen Geräts kennen, ist es wahrscheinlich Ihre beste Wahl, wenn Sie den MAC eines solchen Geräts kennen und Ihren MAC entsprechend klonen und eine eigene ARP-Cache-Vergiftung durchführen.Vorausgesetzt, das nicht autorisierte ARP-Gerät befindet sich auf der Innenseite (LAN-zugewandte Seite) des WAN-Geräts, sollte diese physische Sicherheit verhindern, dass unerwünschte Geräte intern angezeigt werden, und wird daher als weniger bedrohlich angesehen.

Früher, als Switches neu und sehr teuer waren und Hubs die Hauptmethode für die Verbindung mehrerer Netzwerksegmente waren, konnte man den gesamten Datenverkehr von jedem Teil eines großen Netzwerks aus sehen. Dies war jedoch offensichtlich weniger als ideal - als Überlastung im Netzwerk war extrem hoch - bis zur Instabilität selbst mittlerer LANs

HINWEIS: DIE MEISTEN VERKEHRS-NOWADAYS WERDEN ÜBER TLS EINGESCHRIEBEN. WÄHREND SIE IN DER LAGE SIND, VERBINDUNGEN ZU ERFASSEN UND ZU BESTIMMEN, WELCHES GERÄT MIT WO VERBUNDEN IST, KÖNNEN SIE 95% DER GESPRÄCHE NICHT ENTDECKEN.

EINIGE NÜTZLICHE BEFEHLE sendet TCP | UDP | UDPLITE | ICMP-Ping oder Traceroute anstelle des Standard-UDP-Traceroute / ICMP-Ping; Das Flag ping -e enthält Informationen zur Paketkapselung. Beachten Sie, dass eine ARP-Vergiftung nicht über einen MPLS / VPN-Tunnel oder über ein L4-geroutetes Netzwerksegment oder über VLANs erfolgreich ist, es sei denn, das Sniffing-Gerät befindet sich im Standard-VLAN (z. B. 2 Abteilungen mit) ein interner Router in der Mitte, jeder in verschiedenen Subnetzen / Netzwerken - dies schafft eine Barriere, die Pakete nur durchqueren, wenn sie vordefinierten Regeln entsprechen, die vom Administrator festgelegt wurden. -natürlich apt / yum / dnf / apt-get [search | install] oder rpm -i für ein vorab heruntergeladenes Paket auf fedora / RHEL (Paketmanager zur Installation fehlender Software) sendet TCP | UDP | UDPLITE | ICMP-Ping oder Traceroute anstelle des Standard-UDP-Traceroute / ICMP-Ping; Das Flag ping -e enthält Informationen zur Paketkapselung. Beachten Sie, dass eine ARP-Vergiftung nicht über einen MPLS / VPN-Tunnel oder über ein L4-geroutetes Netzwerksegment oder über VLANs erfolgreich ist, es sei denn, das Sniffing-Gerät befindet sich im Standard-VLAN (z. B. 2 Abteilungen mit) ein interner Router in der Mitte, jeder in verschiedenen Subnetzen / Netzwerken - dies schafft eine Barriere, die Pakete nur durchqueren, wenn sie vordefinierten Regeln entsprechen, die vom Administrator festgelegt wurden. -natürlich apt / yum / dnf / apt-get [search | install] oder rpm -i für ein vorab heruntergeladenes Paket auf fedora / RHEL (Paketmanager zur Installation fehlender Software) Beachten Sie, dass eine ARP-Vergiftung nicht über einen MPLS / VPN-Tunnel oder über ein L4-geroutetes Netzwerksegment oder über VLANs erfolgreich ist, es sei denn, das Sniffing-Gerät befindet sich im Standard-VLAN (z. B. 2 Abteilungen mit einem internen Router in der Mitte, jeweils in einem anderen Subnetze / Netzwerke - dies schafft eine Barriere, die Pakete nur durchqueren, wenn sie den vom Administrator festgelegten vordefinierten Regeln entsprechen. -natürlich apt / yum / dnf / apt-get [search | install] oder rpm -i für ein vorab heruntergeladenes Paket auf fedora / RHEL (Paketmanager zur Installation fehlender Software) Beachten Sie, dass eine ARP-Vergiftung nicht über einen MPLS / VPN-Tunnel oder über ein L4-geroutetes Netzwerksegment oder über VLANs erfolgreich ist, es sei denn, das Sniffing-Gerät befindet sich im Standard-VLAN (z. B. 2 Abteilungen mit einem internen Router in der Mitte, jeweils in einem anderen Subnetze / Netzwerke - dies schafft eine Barriere, die Pakete nur durchlaufen, wenn sie den vom Administrator festgelegten vordefinierten Regeln entsprechen. -natürlich apt / yum / dnf / apt-get [search | install] oder rpm -i für ein vorab heruntergeladenes Paket auf fedora / RHEL (Paketmanager zur Installation fehlender Software)

HAFTUNGSAUSSCHLUSS (NUR FÜR DEN VERANTWORTLICHEN GEBRAUCH VON INFORMATIONEN BESTIMMT): Alle Informationen, die sich möglicherweise der Erkennung durch Sicherheitsgeräte entziehen, ein Ziel oder Ziele abhören oder andere Aktivitäten ausführen, die als "Hacken", "Knacken", "Identitätswechsel" (digital oder) angesehen werden können anderweitig) oder "Spoofing" und / oder sämtliche hierin bereitgestellten Informationen, die auf böswillige und / oder illegale Weise verwendet werden könnten (gemäß der lockersten Definition des Begriffs und nach dem Gesetz in einer oder allen Gerichtsbarkeiten), sind vorgesehen Nur zu Informationszwecken - nicht als Tutorial oder Beratung zur Durchführung der oben genannten Aktivitäten. Nichts, was oben geschrieben wurde, stellt einen Rat oder eine Ermutigung dar, ein Verbrechen zu begehen oder gegen ein Gesetz zu verstoßen oder einer Person Schaden zuzufügen. Diese Informationen wurden ausschließlich zu hypothetischen Zwecken bereitgestellt und sollten und müssen daher in jeder Hinsicht als hypothetisch angesehen werden. Jeder Versuch einer Person, diese Informationen auf eine Weise zu verwenden, die hierin verboten ist, oder auf andere Weise, aus Gründen des gesunden Menschenverstands, moralisch ungerecht oder falsch oder auf eine Weise, die durch die Nutzungsbedingungen des Herausgebers verboten ist, spiegelt keine Haftung gegenüber dem Verfasser des Inhalts oder Herausgeber unter keinen Umständen in einer Gerichtsbarkeit. Mit Ausnahme des Urheberrechts ergänzt diese Erklärung die Nutzungsbedingungen des Herausgebers vollständig. Der Urheberrechtshinweis hier (2019) ersetzt jeden Anspruch des Herausgebers auf Material. Die Autoren (Cryptostack Services LLC & Dylan J Bennett) haben das gleiche Recht und alle Rechte, dieses Material auf Anfrage und / oder Wunsch zu kopieren und / oder erneut zu veröffentlichen und / oder zu löschen. Die oben in Klammern genannten Autoren behalten sich das volle Urheberrecht und alle Rechte aus dem DMCA vor. Dies ist eine Ergänzung zu den Nutzungsbedingungen der Website, auf der der Autor veröffentlicht. Niemand darf diese Informationen auf ein anderes Medium (elektronisch oder analog) als das ursprüngliche (Stack-Exchange-Unterforum für netzwerkbezogene Fragen) Postmedium kopieren oder erneut veröffentlichen. Ein Verstoß gegen diesen Antrag stellt einen Schadenersatz dar, der für Geldentschädigungen haftet. Zuwiderhandlung stellt eine vorsätzliche Übergabe des Rechts auf ein Gerichtsverfahren durch einen Richter oder eine Jury dar, falls der Verfasser eine zivilrechtliche Wiedergutmachung für entstandene Schäden beantragt. Der Verfasser behält sich jedoch das Recht vor, eine Zivilklage im südlichen Bezirk von New York oder einem anderen Gericht in der Nähe einzureichen Wählen Sie Schiedsgerichtsbarkeit nach Firma, die vom Autor im Staat New York, USA, ausgewählt wurde. Durch die Veröffentlichung in diesem Forum werden die Rechte des Autors auf ausschließliches Eigentum, Kopierrechte, Schadensersatzansprüche usw. in keiner Weise unabhängig von den vom Verlag angegebenen Nutzungsbedingungen aufgegeben. Diese Erklärung ergänzt alle Bestimmungen oder Verwendungen und / oder Dienstleistungen des Herausgebers und ersetzt alle Materialien, die vor dieser Erklärung erstellt wurden. Im Falle eines Widerspruchs zwischen den Bestimmungen des Herausgebers und diesen Bestimmungen gilt dies als überlegen. Es wird davon ausgegangen, dass der Herausgeber den Inhalt seines Mediums kennt und dafür verantwortlich ist und daher den gesamten Inhalt dieses Beitrags absichtlich entfernen kann, wenn er nicht einverstanden ist. Das Versäumnis, den gesamten vom Autor veröffentlichten Inhalt zu entfernen, stellt einen Verstoß dar. Außerdem, Sowohl der Autor als auch der Herausgeber verzichten auf jegliche Haftung für Schäden, die durch in diesem Beitrag enthaltene Informationen und Methoden verursacht werden, da alle Informationen aus anderen öffentlich zugänglichen Quellen zusammengestellt wurden. Daher besteht das Ziel dieses Beitrags nur darin, den alleinigen Zweck der Bereitstellung des Zugriffs auf bereits zu erfüllen verfügbares Wissen zum Zwecke der Beantwortung einer Frage einer Person, die nach Kenntnis des Verfassers und Verlegers keine Bedrohung für eine Person, Organisation oder auf andere Weise darstellt. Diese Erklärung soll sowohl den Autor (siehe oben) als auch den Herausgeber vor Haftung schützen. Die Erklärung wurde vom Autor (oben angegeben) des gesamten Beitrags verfasst. Die Sprache dieser Erklärung ist einfach Englisch und sollte nicht überinterpretiert werden. Eine vernünftige Interpretation ist erforderlich. und daher besteht das Ziel dieses Beitrags nur darin, den Zugang zu bereits verfügbarem Wissen zu ermöglichen, um eine Frage einer Person zu beantworten, die nach Kenntnis des Verfassers und Verlegers keine Bedrohung für eine Person, Organisation oder Organisation darstellt Andernfalls. Diese Erklärung soll sowohl den Autor (siehe oben) als auch den Herausgeber vor Haftung schützen. Die Erklärung wurde vom Autor (oben angegeben) des gesamten Beitrags verfasst. Die Sprache dieser Erklärung ist einfach Englisch und sollte nicht überinterpretiert werden. Eine vernünftige Interpretation ist erforderlich. und daher besteht das Ziel dieses Beitrags nur darin, den Zugang zu bereits verfügbarem Wissen zu ermöglichen, um eine Frage einer Person zu beantworten, die nach Kenntnis des Verfassers und Verlegers keine Bedrohung für eine Person, Organisation oder Organisation darstellt Andernfalls. Diese Erklärung soll sowohl den Autor (siehe oben) als auch den Herausgeber vor Haftung schützen. Die Erklärung wurde vom Autor (oben angegeben) des gesamten Beitrags verfasst. Die Sprache dieser Erklärung ist einfach Englisch und sollte nicht überinterpretiert werden. Eine vernünftige Interpretation ist erforderlich. stellt keine Bedrohung für eine Person, Organisation oder auf andere Weise dar. Diese Erklärung soll sowohl den Autor (siehe oben) als auch den Herausgeber vor Haftung schützen. Die Erklärung wurde vom Autor (oben angegeben) des gesamten Beitrags verfasst. Die Sprache dieser Erklärung ist einfach Englisch und sollte nicht überinterpretiert werden. Eine vernünftige Interpretation ist erforderlich. stellt keine Bedrohung für eine Person, Organisation oder auf andere Weise dar. Diese Erklärung soll sowohl den Autor (siehe oben) als auch den Herausgeber vor Haftung schützen. Die Erklärung wurde vom Autor (oben angegeben) des gesamten Beitrags verfasst. Die Sprache dieser Erklärung ist einfach Englisch und sollte nicht überinterpretiert werden. Eine vernünftige Interpretation ist erforderlich.

Dylan Bennett
quelle
2
Lesen Sie bis zu einem gewissen Punkt durch, aber mit so viel Text und vielen Problemen (verwirrend, teilweise richtig oder völlig falsch) in den ersten zwölf Absätzen scheint es sich nicht zu lohnen, fortzufahren. Zum Beispiel (Trimmen nach Länge) verwendet ein Switch ein Protokoll, das als ARP oder ND bekannt ist, um die MAC-Adressen aller an jede Schnittstelle angeschlossenen Geräte zu ermitteln. Für einen Switch sind weder ARP noch ND erforderlich, um MAC-Adressen für eine L2-Weiterleitungstabelle zu lernen. Oder Multicast-Pakete sind in erster Linie für das IGMP-Internet-Gruppenverwaltungsprotokoll bestimmt - einfach falsch. Zu viele Probleme, um in einen Kommentar zu passen (dh Zeichenbeschränkung).
YLearn
1
IGMP wird zum Verwalten der Multicast-Gruppenmitgliedschaft verwendet. Während IGMP in Netzwerken, mit denen Sie vertraut sind, möglicherweise die primäre Quelle für Multicast ist, sind Multicast-Pakete in vielen Netzwerken weder primär für IGMP noch die primäre Quelle. Was die ARP / ND-Sache betrifft, lesen Sie den dritten Absatz noch einmal, in dem Sie genau das sagen, ohne einen L3-Schalter zu erwähnen. Ich verstehe, was ARP / ND / IGMP ist, was eine ARP-Tabelle ist / wie sie verwendet wird und alles ohne Nachforschungen anzustellen oder "Fakten zu überprüfen". Bitte lesen Sie Ihren eigenen Beitrag erneut und überprüfen Sie, ob der tatsächlich veröffentlichte Beitrag korrekt ist, da er möglicherweise nicht wie beabsichtigt angezeigt wird.
YLearn
5
Ich vermute, Stack Exchange würde sich nicht über einen solchen Haftungsausschluss in einer Antwort auf ihrer Website freuen, obwohl ich hier noch nie auf einen gestoßen bin.
Präsident James K. Polk
3
Betreff " Die oben in Klammern genannten Autoren behalten sich das volle Urheberrecht und alle Rechte im Rahmen der DMCA vor. " Durch das Posten auf dieser Website erklären Sie sich damit einverstanden, einige Befugnisse aufzugeben.
Ikegami
4
@JamesKPolk, SE hat klargestellt, dass sie in all ihren Nutzungsbedingungen / rechtlichen Bestimmungen durch einen Benutzerbeitrag tatsächlich einen Vertrag abschließen, dass alle von ihnen veröffentlichten Inhalte von der CC-BY-SA-Lizenz abgedeckt werden. Ich habe Meta schnell überprüft und keine endgültige Antwort darauf gefunden, ob ein solcher Haftungsausschluss entfernt werden sollte. Trotz dieser IANAL glaube ich, dass der Benutzer durch das Posten auf einer SE-Site vereinbart hat, dass der Inhalt von der CC-BY-SA abgedeckt wird, und dass er nicht das Recht hätte, diese Bedingungen ohne Zustimmung der SE zu ändern. Insofern ist der Haftungsausschluss zumindest teilweise bedeutungslos.
YLearn