 |  | | [Tutorial] Packet-Sniffing |
|  |
 Verfasst am: 13.01.2006 19:24 |
 |
|
| Cerox |
|
 |
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
 |
|
Die Tutorials in diesem Forum sollen keine Anleitung zur Kompromittierung von Serverdiensten geben. Der Leser sollte sich bemühen, Sicherheitslücken zu erkennen und zu beheben - zu diesem Zweck werden diese Tutorials geschrieben. Bitte verwendet die hier gezeigten Methoden nicht für illegale Aktivitäten.
So, ich schreibe mal ein kleines (d.h. nicht so ausführlich, denn dann könnte ich Stunden damit verbringen) Tutorial, wie ihr Packet Sniffing betreiben könnt.
Ihr benötigt einen Sniffer, dafür eignet sich z.B. Ethereal (für Linux und Windows erhältlich). Wer will, kann das auch mit tcpdump in der Konsole machen aber das halte ich für etwas übertrieben, da die grafisches Packetsniffer doch etwas komfortabler sind, wenn man das Ganze dann analysieren muss.
Bevor man Pakete untersucht, sollte man das OSI-Modell kennen; das habe ich hier erklärt: http://netzwerkinfos.com/netzwerktechnik/osi.php
Packet-Analysing ist auch notwendig, wenn man einen Paketfilter aufsetzen möchte, um zum Beispiel zu überprüfen, auf welchen Ports bestimmte Anwendungen kommunizieren.
Für einen Packet Sniffer benötigt man sowohl unter Linux als auch Windows Administratorrechte. Um das Capturing zu starten, klickt ihr auf den dritten Button von links oben "Start a new life capture".
Ich werde das nicht großartig erklären; dafür muss es jeder selbst ausprobieren. Ich gebe euch einfach mal drei Beispiele zur Orientierung und erläutere diese.
Ping
Ich pinge mal einen Host an und wir schauen uns an, was der Packet Sniffer dazu sagt.
http://netzwerkinfos.com/neu/files/ping.jpg
Wie man sieht wurden 6 Pakete ausgetauscht. Die einzelnen Pakete werde ich kurz erläutern.
Paket 1 und 2:
Als erstes wird ein ARP-Request per Broadcast gesendet, um die MAC-Adresse des Default-Gateways 192.168.1.1, welche für die Kommunikation zwischen zwei Schnitstellen benötigt wird, herauszufinden. Man sieht beim Packet-Sniffer auch immer die Source-Adress, Destination-Adress und das Protokoll. Das ARP-Reply kommt vom Gateway und teilt dem Netzknoten die MAC-Adresse mit.
Paket 3 und 4:
Hierbei handelt es sich um eine DNS-Query an das Default-Gateway 192.168.1.1. Die DNS-Response liefert die IP-Adresse der Domain heise.de.
Paket 5 und 6:
Erst jetzt kann der ICMP-Echo-Request (Ping-Anfrage) abgesetzt werden. Dieses Paket habe ich im Screenshot auch markiert. Unten kann man sich die einzelnen Header aufklappen und anschauen, d.h. Frame-Header, IP-Header, TCP-Header falls vorhanden und in dem Fall das ICMP-Paket. Zum Beispiel hat hier das Typfeld im ICMP-Paket den Wert 8, das entspricht einem Echo-Request. Anschließend kommt ein echo-Reply vom heise-Server zurück.
FTP
Nun ein zweites Beispiel. FTP überträgt, wie ja die meisten von euch wissen, die Daten unverschlüsselt.
In einem LAN mit einem Hub könnte man nun auf einfachste Weise die Passwörter der anderen Personen im lokalen Netzwerk herausbekommen, sofern sich diese z.B. mit einem FTP-Server verbinden.
http://netzwerkinfos.com/neu/files/ftp.jpg
Wie auf dem Screenshot unschwer zu erkennen ist, wird das Kennwort bei FTP mit dem Befehl PASS mitgeteilt. FTP wird zusammen mit TCP verwendet; daher ist hier auch ein TCP-Header erkennbar, welcher zum Beispiel die Ports anzeigt. SPort (Source-Port) ist 1599 (dieser wird per Zufall vom Quell-Host generiert). Der DPort (Destination-Port) ist der FTP-Port 21 für die Kontrolle der Datenübertragung. Beim aktiven FTP würden die Daten danach über Port 20 übertragen werden; bei passivem FTP fließen die Daten über eine Registered Port des Servers.
Bei vielen gesnifften Paketen, muss man das Passwort nicht suchen. Dafür gibt es die mit dem Lupensymbol gekennzeichnete Suche, wo auch nach Strings gesucht werden kann.
ICQ
So, das dritte Beispiel wird euch auch gleich zeigen, dass ICQ ausschließlich über den AOL-Server läuft. Ich weiß nicht, warum immer Leute behaupten, ICQ baue eine P2P Verbindung beim Datentransfer auf – das ist Schwachsinn. Um euch zu überzeugen, schickt ihr jemandem eine Datei und siehe da: Die Pakete kommen immer vom Server (Port 5190) und die ausgehenden Pakete werden auch immer zum Server (Port 5190) geschickt. Während einer ICQ-Session besteht eine TCP-Verbindung mit einem zufallsgenerierten Quellport und dem Zielport 5190 des AOL-Servers.
Update
Also das ist sehr komisch. Vor kurzem habe ich das mit ICQ ausprobiert - es lief definitiv alles über den AOL-Server. Jetzt habe ich es nochmal getestet und es bestand tatsächlich eine direkte TCP-Verbindung. |
|
Zuletzt bearbeitet von Cerox am 22.04.2006 17:20, insgesamt 3-mal bearbeitet |
|
|
|
| | |
| Verfasst am: 13.01.2006 21:53 |
|
|
| BlackLotus |
|
 |
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
Das meiste davon wusste ich schon aber trotzdme gutes TUT 
Aber ich kann dir sagen warum alle glauben,dass beim ICQ Datntransfer ne p2p Verbindung genutzt wird
Ganz einfach ICQ behauptet es kackfrech.
Zu beobachten wenn man ICQ frisch insatlliert hat und dann ne Datei verschickt. |
|
_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.
Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das 
http://blackwiki.bl.ohost.de |
|
|
|
| Verfasst am: 13.01.2006 22:01 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Tja, wie gesagt ich habe es getestet und mir eine Datei schicken lassen; beide Teilnehmer haben ICQ 5 verwendet. Die Übertragung lief genauso über den Server. |
|
|
|
|
| Verfasst am: 14.01.2006 19:15 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Das is es echt sehr komisch bei mir gings nämlich, und zwar nicht nur ein Mal.
Bekam dns und ip.
Habs mit tcpview gemacht.
Ausserdem müsste der Server ja unter der Datenlast zusammenbrechen. |
|
Zuletzt bearbeitet von Lukas am 14.01.2006 19:38, insgesamt einmal bearbeitet |
|
|
|
| Verfasst am: 14.01.2006 19:19 |
|
|
| BlackLotus |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
| Zitat: |
Ausserdem müsste der Server ja unter der Datenlast zusammenbrechen bei acht UIN Stellen. |
Wie soll man das verstehen????
Außerdem sind es 9 Stellen |
|
Zuletzt bearbeitet von BlackLotus am 15.01.2006 01:58, insgesamt 2-mal bearbeitet
_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.
Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das
http://blackwiki.bl.ohost.de |
|
|
|
| Verfasst am: 14.01.2006 19:42 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Stell dir mal vor der gesamte Datenverkehr geht über diesen Server.
Wär doch zu viel oder? |
|
|
|
|
| Verfasst am: 14.01.2006 20:53 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Das ist nicht zu viel. Du weißt nicht wie viele Server es gibt; also kannst du nichts darüber aussagen.
Zudem weißt du nichts über die Ausstattung und Anbindung der Server.
| Zitat: | Das is es echt sehr komisch bei mir gings nämlich, und zwar nicht nur ein Mal.
Bekam dns und ip. |
Das glaube ich nicht, da ich es ja selbst getestet habe. Der Sniffer bestätigt, dass alle Datenpakete über die selbe TCP-Verbindung fließen und zwar zum Server und andersrum werden sie vom Server geholt.
TCPview zeigt dir nur grafisch die TCP-Verbindungen an - du hast natürlich einige zum ICQ-Server. |
|
|
|
|
| Verfasst am: 15.01.2006 17:51 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beiträge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
Ich kanns bestätigen er hat zetzt meine ip
DX |
|
|
|
|
| Verfasst am: 15.01.2006 21:28 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Zitat: | | Ich kanns bestätigen er hat zetzt meine ip |
Vielleicht könntest du mal die Vorgehensweise beschreiben und deine Behauptungen belegen... |
|
|
|
|
| Verfasst am: 16.01.2006 13:03 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beiträge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
Ich hab ihm eine MP3 per ICQ geschickt und er hat mit TCPView.exe meine IP gesnifft
Na besster
DX Kaito |
|
|
|
|
| Verfasst am: 16.01.2006 17:34 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Zitat: | | Ich hab ihm eine MP3 per ICQ geschickt und er hat mit TCPView.exe meine IP gesnifft |
Ja, heute abend machst du das dann mal bei mir! |
|
|
|
|
| Verfasst am: 17.01.2006 11:40 |
|
|
| Rebellion |
|
 |
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 151 |
| Wohnort: %systemroot% |
|
|
|
|
|
|
Gutes Tutor!
Den Aufbau des OSI-Modells kannte ich z.B. noch überhaupt nicht.
Ich werd das heute auch mit TCPView testen, ob wirklich alles über'm Server läuft, oder ob doch ne direkte Verbindung besteht. |
|
|
|
|
| Verfasst am: 02.02.2006 18:38 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Habs nochmal getestet - diesmal bestand eine direkte Verbindung also ich werde daraus nicht schlau... |
|
|
|
|
| Verfasst am: 02.02.2006 18:48 |
|
|
| BlackLotus |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
Vllt hängt das von der größe der Pakete oder soab....
Könnte ja auch sein das die unseren Netzvekehr überprüfen |
|
_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.
Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das
http://blackwiki.bl.ohost.de |
|
|
|
| Verfasst am: 02.02.2006 18:54 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Das war 1,5 MB groß -> direkte Verbindung
Vorher wars ne mp3 von 3 MB oder so.... |
|
|
|
|
| Foren-Übersicht » Netzwerktechnik |
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 2
Gehe zu Seite 1, 2 Weiter
|
|
|
|
|
