user32847
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Hallo Ubuntuusers, habe eine kurze Verständnisfrage zum Thema Sniffing.
Bei folgendem Szenario gibt es einen Switch und zwei PCs die daran angeschlossen sind. Pakete können z. B. durch ARP-Spoofing mitgelesen werden. [Switch]
| |
| |
[PC] [PC] Auf fefe.de steht folgendes. What can I do to prevent sniffing, then? Use cross-link cables.
Nun also das nächste Szenario. Warum soll das Sniffen hier nicht funktionieren? Geht hierbei ARP-Spoofing nicht und warum?
[PC 1] --- [PC 3]
|
|
[PC 2] Stehe gerade etwas auf dem Schlauch... Freundliche Grüße user32847
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
Was soll man dazu sagen? Du schreibst 2 unterschiedliche Szenarien hin (einmal 2 und einmal 3 PCs). Die generelle Idee ist: Wenn du crosslink benutzt, ist kein Switch dazwischen. Wo kein Switch ist, kann auch keiner arp-spoofed werden.
|
Das_Wort
Anmeldungsdatum: 23. Dezember 2009
Beiträge: 5264
Wohnort: /dev/null
|
Das hier? ▶ Crosskabel Ich verstehe das leider noch nicht Roter Ritter. Geht das dann nicht wegen der falschen Verkabelung beim Switch? Gibt es nicht auch managed switches die die Zuordnung ändern können sodass man wieder MITM kann?
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
Wat? Crosskabel nimmt man zur direkten Verbindung zweier rechner her. Da ist dann kein Switch dazwischen Ohne Switch kann ich auch kein Traffic von anderen Rechnern abgreifen.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
redknight schrieb: Wat? Crosskabel nimmt man zur direkten Verbindung zweier rechner her. Da ist dann kein Switch dazwischen Ohne Switch kann ich auch kein Traffic von anderen Rechnern abgreifen.
Aber auch wenn zwei Rechner via Crosskabel miteinander kommunizieren, brauchen die doch die MAC-Adressen vom Gegenüber. Kann man da nicht den ARP-Cache manipulieren?
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
user32847 schrieb: Aber auch wenn zwei Rechner via Crosskabel miteinander kommunizieren, brauchen die doch die MAC-Adressen vom Gegenüber. Kann man da nicht den ARP-Cache manipulieren?
Was hilft dir das denn? Da es keine weiteren Kommunikationspartner GIBT, brauchst Du auch keine weiteren vorzutäuschen...
|
Das_Wort
Anmeldungsdatum: 23. Dezember 2009
Beiträge: 5264
Wohnort: /dev/null
|
redknight schrieb: Wat? Crosskabel nimmt man zur direkten Verbindung zweier rechner her.
Als ich nach deinem Name dropping nach crosslink gesucht habe war crosskabel das einzig Schlüssige. Alles andere war aus anderen Fachgebieten (Molekül-Biologie etc.). Außerdem ist das in fefes Blogeintrag doch auch gemeint. Oder meinst du etwas anderes?
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
Ob nun Crosskabel, Crossoverkabel oder sonstwie, ist eigentlich egal. Die Crosskabel sind halt spezielle Kabeltypen, die zur Direktverbindung zweier Rechner verwendet werden. Der zitierte Blogeintrag ist von 2000, das sagt eigentlich schon alles aus.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Wie gesagt, vielleicht stehe ich gerade gewaltig auf dem Schlauch. Aber ist nicht folgendes möglich?
[PC 1] --- [PC 3]
|
|
[PC 2] PC 1 und PC 2 kommunizieren miteinander bzw. wollen miteinander kommunizieren. Und PC 3 schickt an PC 1 eine manipulierte ARP-Nachricht, sodass im Cache von PC 1 z. B. steht:
IP-Adresse von PC 2 | MAC-Adresse von PC 3 Und schon schickt PC 1 die Pakete an PC 3, anstatt an PC 2?
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
Das Wort schrieb: Oder meinst du etwas anderes?
Nein. Meinte ich nicht. eine direktverbindung kann man nicht spoofen. Weil sie DIREKT ist. Der Punkt am Arp-Spoofing ist, dass ich dem SWITCH vorgaukele, ich wäre jemand anders und deshalb dessen Pakete bekomme. Da eine Direktverbindug nicht über einen Switch geht, kann ich das bei der nicht machen.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
user32847 schrieb: Wie gesagt, vielleicht stehe ich gerade gewaltig auf dem Schlauch.
Den Eindruck habe ich auch. PC 1 und PC 2 kommunizieren miteinander bzw. wollen miteinander kommunizieren. Und PC 3 schickt an PC 1 eine manipulierte ARP-Nachricht, sodass im Cache von PC 1 z. B. steht:
IP-Adresse von PC 2 | MAC-Adresse von PC 3 Und schon schickt PC 1 die Pakete an PC 3, anstatt an PC 2?
Abhängig vom Setting _könnte_ PC1 wahlweise Man-in-the-Middle sein, oder gespoofed werden. (Achtung: Abhängig von der Art, wie die Verbdinungen gebaut sind). Aber damit sind wir wieder am Einstigespunkt. Willst Du das verhinden. müssen 2 und 3 direkt verbunden sein (Crosslink zieht dabei auf die Direktverbindung ab)
|
anoxJoe
Anmeldungsdatum: 3. Mai 2013
Beiträge: 36
|
Falls du allerdings nur selbst im Heimnetzwerk einen ARP-Spoofing-Angriff erkennen willst der auf deinen eigenen PC stattfindet kannst du dir mal sowas anschauen. https://github.com/JohWie/ARP-Watch-Notification
|