hallo,

ich beschäftige mich zur zeit ein bischen mit dem thema sniffing, nur aus interesse versteht sich.

dazu habe ich schon einiges an traffic in meinem heimnetz mt airsnort und ethereal aufgezeichnet. aber das funktioniert nur, wenn ich mich im gleichen netz befinde wie die zu bespitzelnden rechner, also z.b. in 192.168.77.x, bin ich in 192.168.78.x sehe ich nichts mehr.

nun meine frage: wie snifft ein potenzieller angreifer, der nicht weiß welche ip-range mein heimnetz hat? er muss die ip-pakete, in denen die range steht, ja zu gesicht bekommen ohne im netz zu sein, damit er sich danach eine ip aus meinem bereich geben kann. kismet z.b. kann zwar die ip-range eins wlan anzeigen, bei meinem netz tut es das aber nicht...

kann mir mal einer erklären, wie ich pakete sehen kann, ohne im netz zu sein? :)

Man kann auch auf Hardware-Ebene Pakete erschnüffeln...

könntest du das ein wenig ausführen, bzw. weiterführende links geben?

könntest du das ein wenig ausführen, bzw. weiterführende links geben?

http://www.linuxforen.de/forums/showthread.php?t=136651
http://de.wikipedia.org/wiki/OSI-Modell
http://de.wikipedia.org/wiki/Ip

Das Stichwort "Promiscous Mode" in Zusammenhang mit Ethereal sollte dir helfen.

BTW: Du willst doch lernen, also musst du auch lernen zu suchen. *SCNR* :p

Edit: http://www.ethereal.com/faq.html#q5.1 http://ethereal.mirroring.de/docs/eug_html_chunked/ChCapCaptureOptions.html

danke, aber das hilft mir nicht so richtig weiter...

das layer-system des ip-protokolls ist mir bekannt, nur wie ich dieses wissen jetzt effektiv benutzen kann um pakete zu sniffen verstehe ich nicht :) vielleicht müsste ich genauer wissen, wie der promiscous mode funktioniert, ließt die netzwerkkarte dadurch vll. den hardware-layer?. den prom. mode habe ich natürlich eingeschaltet, aber trotzdem bekomme ich nur pakete aus meinem subnetz, und über wlan müsste das doch eigentlich subnetzübergreifend gehen, da kein switch im weg steht, oder?

mir fällt gerade ein: wenn ich einen rechner anpinge,verhält sich das ja ähnlich, ich kann nur rechner im subnetz anpingen. lässt sich das auch irgendwie umgehen?

danke :)

mir fällt gerade ein: wenn ich einen rechner anpinge,verhält sich das ja ähnlich, ich kann nur rechner im subnetz anpingen. lässt sich das auch irgendwie umgehen?

danke :)

Wenn du keine anderen Rechner anpingen kannst, solltest du dir folgende Fragen stellen (und beantworten ;))
Hast du IP Forwarding eingeschaltet auf deinem Router?
Läuft auf den angepingten Rechner ICMP (echo)?

@rowo: naja, war ein bisschen schlecht formuliert, ins web kann ich wohl pingen. aber bin ich auf einer lan und möchte jemanden anpingen, der am gleiche router hängt, sich aber ein anderes subnetz gegeben hat, geht das nicht.

aber das war ja nicht die hauptfrage und jetzt etwas off topic :)

@rowo: naja, war ein bisschen schlecht formuliert, ins web kann ich wohl pingen. aber bin ich auf einer lan und möchte jemanden anpingen, der am gleiche router hängt, sich aber ein anderes subnetz gegeben hat, geht das nicht.


Dann scheint es keine Route von einem Subnetz zum anderen zu geben. Problemlösung: Router für das LAN einrichten ;)

... wobei da auch oftmals eine Firewall bzw. die Router-Config mitspielt...

Grundsätzlich gibt es beim sniffen einige Probleme, die es früher, nicht gab. Zum einen gibt es Switches. Switches sind zum sniffen zu "intelligent". Da kommt bei mir am Port ja nur das an, was an alle Rechner oder direkt an meinen Rechner geht. Okay, es gibt Monitor-Ports, aber das ist ein anderes Thema.

Wenn du das Subnet änderst, bekommst du ja nur noch das mit was an deinen Rechner geht (eben Traffic aus dem gleichen Netzwerk) oder Broadcasts. Über einen erschnüffelten Broadcast kann ich schon mal dein Subnet erfahren. Vereinfacht gesagt erlaubt der Promiscous Mode der NIC den gesamten Traffic der bei ihr vorbeikommt zu lesen und reicht ihn an den Treiber durch. Informier dich doch einfach mal ein bisschen über die Arbeitsweise von WLAN Accesspoints, Netzwerken allgemein, Switches, HUBs und Routern. Dann fällt dich auch das sniffen leichter. :)

Moin,

persönlich würde ich Lektüre über das Routen von IP-Paketen empfehlen. Meines Erachtens kannst du mitlesen, enn du

- am selben Hub hängst
- im selben logischen Netz hängst (weil die Pakete dann vermutlich zu deinem Hub weitergeleitet werden)
- der Verkehr über deinen Rechner geroutet wird

Gerade letzteres läßt sich auch bei 'nem Switch erreichen

- der Verkehr über deinen Rechner geroutet wird

Gerade letzteres läßt sich auch bei 'nem Switch erreichen
Arp-Poisening, Arp-Spoofing, Mac-Flooding...

Um hier nur mal ein paar Stichwörter zu nennen.

Um hier nur mal ein paar Stichwörter zu nennen.

Jo, diese Stichwörter werden auch in einem aktuellen ix-Artikel namens "Netzsicherheit" aufgegriffen. Vielleicht lohnt es sich den Artikel zu lesen...

dsniff ist das beste Tool! Man kann sogar mit einem Browser live mitverfolgen, was ein anderer User im Internet rumsurft! :eek: Glüclkicherweise lässt sich das Programm nicht leicht installieren...

rein hypothetisch (nicht ausprobiert, aber die Chancen stehen nicht schlecht, dass es so funzt...)

apt-get install dsniff
yast -i dsniff

:-)

Ettercap und Ethereal sollte man als Platzhirsche auf diesem Gebiet auch nicht vergessen.

rein hypothetisch (nicht ausprobiert, aber die Chancen stehen nicht schlecht, dass es so funzt...)

apt-get install dsniff
yast -i dsniff

:-)

Stimmt nicht so, unter SuSE muss man sehr viel Glück haben, wenn man das installiert bekommt. Wer das sauber schafft, ist eine Anleitung sehr herzlich Willkommen! Bei Debian habe ich schon mal mit apt-get installiert. Jedoch klappte das mit "Live surfing" nicht...

Wenn du das Subnet änderst, bekommst du ja nur noch das mit was an deinen Rechner geht (eben Traffic aus dem gleichen Netzwerk) oder Broadcasts. Über einen erschnüffelten Broadcast kann ich schon mal dein Subnet erfahren. Vereinfacht gesagt erlaubt der Promiscous Mode der NIC den gesamten Traffic der bei ihr vorbeikommt zu lesen und reicht ihn an den Treiber durch.

d.h., im promiscious mode ist es völlig egal in welchem subnetz ich mich befinde, ich bekomme sowieso alles mit, was bei wlan beispielsweise "durch die luft fliegt"?