[moR-pH-euS]
28.05.11, 21:41
Hallo Forum,
ich spiele gerade etwas mit den Tools Wireshark und Ettercap in meinem WLAN herum.
Folgendes Szenario:
Ich habe auf meinem Rechner eine VM laufen (Backtrack 5). Die VM ist im Bridge-Modus und damit im gleichen Subnetz wie der Rechner auf dem VM läuft.
GW 192.168.1.1
Rechner 192.168.1.3
VM mit Backtrack 192.168.1.4
In der VM habe ich jetzt Ettercap so konfiguriert, das er durch ARP Poisoning einen Man-in-the-middle Angriff zwischen der 192.168.1.1 und 192.168.1.3 durchführt. Ich erhalte auf der VM jetzt auch den kompletten Verkehr der von der .3 an die .1 geschickt. Der Mitm ist damit also erstmal erfolgreich und ich kann den Traffic mit Wireshark auch mitlesen.
Mein Test war jetzt, ob ich meinen Benutzernamen und das Passwort im Klartext sniffen kann, wenn ich mich z.B. auf einer Webseite von gmx oder google über den Rechner mit der IP 192.168.1.3 einloggen würde (um z.B. auf den Webmail zuzugreifen).
Wenn ich allerdings den Mitschnitt aus Wireshark speichere und mit tcpdump -X -r mir das File von Wireshark ausgeben lasse und mit grep z.B. nach meinem Loginnamen suche, taucht er nicht auf. Normalerweise sollte er doch, genauso wie das Passwort im Klartext vorliegen (Loginvorgang ging über http).
Habe ich da einen Denkfehler drin, oder wieso sehe ich die Logindaten nicht im Dump von Wireshark?
Vielen Dank und viele Grüße
ich spiele gerade etwas mit den Tools Wireshark und Ettercap in meinem WLAN herum.
Folgendes Szenario:
Ich habe auf meinem Rechner eine VM laufen (Backtrack 5). Die VM ist im Bridge-Modus und damit im gleichen Subnetz wie der Rechner auf dem VM läuft.
GW 192.168.1.1
Rechner 192.168.1.3
VM mit Backtrack 192.168.1.4
In der VM habe ich jetzt Ettercap so konfiguriert, das er durch ARP Poisoning einen Man-in-the-middle Angriff zwischen der 192.168.1.1 und 192.168.1.3 durchführt. Ich erhalte auf der VM jetzt auch den kompletten Verkehr der von der .3 an die .1 geschickt. Der Mitm ist damit also erstmal erfolgreich und ich kann den Traffic mit Wireshark auch mitlesen.
Mein Test war jetzt, ob ich meinen Benutzernamen und das Passwort im Klartext sniffen kann, wenn ich mich z.B. auf einer Webseite von gmx oder google über den Rechner mit der IP 192.168.1.3 einloggen würde (um z.B. auf den Webmail zuzugreifen).
Wenn ich allerdings den Mitschnitt aus Wireshark speichere und mit tcpdump -X -r mir das File von Wireshark ausgeben lasse und mit grep z.B. nach meinem Loginnamen suche, taucht er nicht auf. Normalerweise sollte er doch, genauso wie das Passwort im Klartext vorliegen (Loginvorgang ging über http).
Habe ich da einen Denkfehler drin, oder wieso sehe ich die Logindaten nicht im Dump von Wireshark?
Vielen Dank und viele Grüße