Verstaendnisfrage: Sniffing [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Verstaendnisfrage: Sniffing

ZoRn

06.08.05, 03:45

Hallo,
ich habe eine Verstaendnisfrage bezuegl. des sniffens mit ethereal, tcpdump, etc.
Kann ich, wenn ich im LAN, sagen wir mal mit Laptop A drinhaenge auch den
Traffic von PC B zu Router C mitsniffen?
Oder nur den Traffic, der auch fuer mein eth-device/meine ip-adresse bestimmt ist?

Vielen Danke fuer Antworten,

Malte

ZoRn

06.08.05, 03:55

Oh, sorry, hat sich erledigt. Ist in Wikipedia sehr gut erklaehrt:

Ein Sniffer kennt den so genannten non-promiscuous mode und den Promiscuous Mode.

Im non-promiscuous mode wird der ankommende und abgehende Datenverkehr des eigenen Computers gesnifft.

Im Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten. Der Adressat eines Frames wird in Ethernet-Netzwerken anhand der MAC-Adresse festgelegt.

gruss Malte

steve-e

06.08.05, 09:51

Solltest du einen Switch einsetzen, wird dir das vorerst nicht sehr viel bringen. Du musst es noch schaffen, dass alle Daten bei dir tatsächlich vorbei kommen.

Es gibt mehrere Möglichkeiten dies zu tun. Die einfachste ist mit ettercap deine Netzwerk mir Arp-Paketen (Arp-Spoofing) zu überfluten und so den gesamten Traffic über deinen PC weiterzuleiten.

mangotree

08.08.05, 17:12

danke fuer diesen Tip

cane

08.08.05, 17:31

Die einfachste ist mit ettercap deine Netzwerk mir Arp-Paketen (Arp-Spoofing) zu überfluten und so den gesamten Traffic über deinen PC weiterzuleiten.

Das ist kein ARP-Spoofing sondern ARP-Flooding wodurch die CAM-Tabellen des Switch überflutet werden. Der Switch wird durch die Überflutung der Tabellen zum Hub und sendet wie ein Hub alle Datenpakete an jeden Switch-Port.

Beim ARP-Spoofing gibt sich der angreifende Rechner A als B beziehungsweise C aus, schneidet die Pakete mit und sendet sie dann an ihr eigentliches Ziel. Quasi ein "man in the middle" Szenario.

ARP-Attacken solltre man nicht in produktiven Netzen testen - es ist sehr schnell möglich das komplette Netz lahmzulegen!

mfg
cane

steve-e

08.08.05, 18:54

Ettercap macht Arp-Spoofing. Sieht man sehr schön in Ethereal.
Ich beschrieb es als überfluten, da sehr viele Arp-Pakete versendet werden.