- Selbstverständlich haben Sie das Recht, Ihre Urheberrechte zu schützen. Sie haben allerdings nicht das Recht, das Internet zu kontrollieren.
- -- Richter Murray Wilcox im australischen KaZaa Prozeß gegenüber der klagenden Musikindustrie
Ein paar Dinge, die ich recht selten mache, schreibe ich hier auf, damit ich später einen Punkt zum Nachschlagen habe. Jetzt kommt wieder so einer, ganz tief unten aus der Technikkiste. Es geht dabei um das Mitloggen von Netzwerkverkehr. Seitdem in der Vernetzung von LANs Switches Einzug gehalten haben, ist ein gewisses Maß an Sicherheit hergestellt. Die Datenpakete werden nur vom Quell- zum Zielrechner übertragen, und nicht wie früher an alle Rechner im selben Netzwerk. Leider ist dieser Schutz nicht garantiert. Dies zeigte auf der CeBIT Sebastian Schreiber von
SySS auf dem heise Stand.
Im jedem am Netzwerk angeschlossenen Gerät gibt es einen Speicher, der sich die Zuordnung von IP-Adressen zu MAC-Adressen merkt, den sogenannten ARP-Cache. Die IP-Adresse ist dabei die logische Adresse, die man selbst bestimmen kann, und die MAC-Adresse hart auf der Netzwerkkarte eingestellt. Jede Netzwerkkarte hat eine eigene eindeutige MAC-Adresse. Diese lässt sich zwar auch fälschen, dies ist aber gar nicht nötig. Man manipuliert einfach den ARP-Cache.
Hier mal die drei Mitspieler in unserer Schnüffel-Demonstration:
Gerät | IP-Adresse | MAC-Adresse |
---|
Router | 10.0.0.1 | AA:AA:AA:AA:AA |
Ziel | 10.0.0.2 | BB:BB:BB:BB:BB |
Schnüffler | 10.0.0.3 | CC:CC:CC:CC:CC |
Was würde als passieren, wenn die ARP-Caches wie folgt manipuliert?
Router:
Gerät | IP-Adresse | MAC-Adresse |
---|
Ziel | 10.0.0.2 | CC:CC:CC:CC:CC |
Schnüffler | 10.0.0.3 | CC:CC:CC:CC:CC |
Ziel:
Gerät | IP-Adresse | MAC-Adresse |
---|
Router | 10.0.0.1 | CC:CC:CC:CC:CC |
Schnüffler | 10.0.0.3 | CC:CC:CC:CC:CC |
Richtig. Der Router schickt die Pakete, die eigentlich für das Ziel gedacht sind an den Schnüffler, und das Ziel schickt die Daten, die eigentlich über den Router rausgehen sollen, ebenfalls an den Schnüffler.
Dann muss der Rechner mit der MAC-Adresse CC:CC:CC:CC:CC:CC, also der Schnüffler nur noch die Pakete an die richtigen Geräte weiterleiten. Dies ist aber das kleinste Problem, denn das Weiterleiten von Paketen ist ein integraler Bestandteil des sogenannten IP-Stacks, als der Programmteile, die die IP-Kommunikation abwickeln.
Soweit die Theorie, aber in der Praxis muss das bestimmt schwer sein, oder? Nein, ist es nicht. Es gibt ein Programm namens ettercap, das diese Funktion auf Knopfdruck mitbringt. Die Nutzung ist wirklich ganz einfach: nach dem Start wählt man im Menü "Shiff" den Punkt "Unified Sniffing" aus. Danach unter "Hosts" den Punkt "Scan for hosts". Danach bekommt man eine Liste der möglichen "Angriffsziele", wovon man sich dann die beiden gewünschten IP-Adressen raussucht, und diese dann als Target A und Target B übernimmt. Abschließen wählt man dann unter "Mitm" (kurz für Man-in-the-middle) den "ARP poisoning" aus. Dann werden alle Pakete durch diesen Rechner getunnelt, und können dann mit anderen Tools wie tcpdump oder wireshark mitgeschnitten und analysiert werden. Man sollte nur darauf achten, dass das ettercap sauber beendet wird, damit die originalen MAC-Adressen wieder hergestellt werden.
Abschließend sollte ich noch darauf hinweisen, dass dieses "Umleiten" des Netzwerkverkehrs auf diese Weise nur funktioniert, wenn sich alle im selben Netzwerk befinden. Quer durch das Internet funktioniert das nicht.
Kommentare