Proseminar: „Electronic Commerce und Digitale Unterschriften“ · Sniffing-Tools Analyzer...
Transcript of Proseminar: „Electronic Commerce und Digitale Unterschriften“ · Sniffing-Tools Analyzer...
SnifferSniffer
Proseminar:Proseminar:
„„Electronic Commerce und Electronic Commerce und Digitale UnterschriftenDigitale Unterschriften““
Proseminar Leiter: Dr. Ulrich Tamm
Vortragender: Stefan Raue
Datum: 29.06.2004
GliederungGliederung
Was sind Was sind SnifferSniffer??EinfEinfüührung Ethernethrung Ethernet
GrundlagenGrundlagenPaketformatPaketformat
Standard TCP/IPStandard TCP/IP4 Schichten Modell4 Schichten ModellKapselung von Kapselung von HeadernHeadern
BestandteileBestandteileSniffingSniffing--ToolsTools
AnalyzerAnalyzerCommViewCommView
Erste Schritte beim Erste Schritte beim SniffingSniffingSniffingSniffing im Netzwerkim Netzwerk
LanLan mit Hubmit HubLanLan mit mit Switch
AbwehrmaAbwehrmaßßnahmennahmenGab es schon Angriffe mit Gab es schon Angriffe mit SnifferSniffer??FazitFazitQuellenQuellenFragenFragen
Switch
Was sind Was sind SnifferSniffer??
Sind GerSind Gerääte oder Programme zum Abfangen te oder Programme zum Abfangen von Datenvon DatenLegitimer Zweck ist die Analyse von Legitimer Zweck ist die Analyse von Netzwerkverkehr und Identifizieren von Netzwerkverkehr und Identifizieren von ProblemenProblemenSie unterscheiden sich in Funktionsumfang, Sie unterscheiden sich in Funktionsumfang, Design und KostenDesign und Kosten
EthernetEthernet
So fing alles an: So fing alles an: Die erste SchemazeichnungDie erste Schemazeichnungdes Ethernet von Dr. Robertdes Ethernet von Dr. RobertMetcalfe.Metcalfe.
GrundlagenGrundlagen
Ethernet basiert auf dem CSMAD/CD ProtokollEthernet basiert auf dem CSMAD/CD ProtokollMultiple AccessMultiple AccessCarrierCarrier SenseSenseCollisionCollision DetectionDetection
FFüür erfolgreichen Einsatz des CSMA/CD Protokolls muss die r erfolgreichen Einsatz des CSMA/CD Protokolls muss die doppelte maximale Laufzeit zwischen zwei Stationen kdoppelte maximale Laufzeit zwischen zwei Stationen küürzer sein als rzer sein als die die ÜÜbertragungsdauer der kbertragungsdauer der küürzesten zulrzesten zuläässigen Pakete.ssigen Pakete.MindestlMindestläänge eines Pakets 64 nge eines Pakets 64 bytebyte (= 512 Bits)(= 512 Bits)In einem 10MBps Netz darf die In einem 10MBps Netz darf die ÜÜbertragung nicht lbertragung nicht läänger als 51,2nger als 51,2µµs s dauern.dauern.
DatenverkehrDatenverkehr
Ist ein Ist ein paketvermittelndespaketvermittelndesNetzwerkNetzwerk
Daten geteilt in kleine EinheitenDaten geteilt in kleine Einheiten(Pakete oder (Pakete oder FramesFrames))Jedes Paket lJedes Paket lääuft autonom durchs uft autonom durchs NetzNetzAm Ziel werden sie wieder Am Ziel werden sie wieder zusammengefzusammengefüügtgt
Jedes Paket wird an jede Station Jedes Paket wird an jede Station verschicktverschicktIdentifikation der Rechner lIdentifikation der Rechner lääuft uft üüber ber HardcodierteHardcodierte MAC MAC -- AdresseAdresse
NameName LLäängenge ErlErlääuterunguterung
PrPrääambelambel 77 TaktsynchronisationTaktsynchronisation
DatenDaten 00--15001500
Beginn des Beginn des Rahmen Rahmen --begrenzersbegrenzers
11 Ab hier beginnt das Ab hier beginnt das eigentliche Datenpaket und eigentliche Datenpaket und die Kollisionserkennung.die Kollisionserkennung.
ZieladresseZieladresse 66 MAC MAC –– AdresseAdresse
QuelladrQuelladr.. 66 MAC MAC –– AdresseAdresse
LLäänge des nge des DatenfeldesDatenfeldes
22
PaddingPadding 00--4646 FFüüllt bis 64 llt bis 64 bytebyte aufauf
PrPrüüfsummefsumme 44 PrPrüüfung ob Paket fung ob Paket angekommen istangekommen ist
Standard TCP/IPStandard TCP/IP
Erstmals Mitte der 70er Jahre auf Erstmals Mitte der 70er Jahre auf IntereseeInteresee des amerikanischen des amerikanischen DefenseDefense AdvancedAdvanced Research (DARPA) entwickelt.Research (DARPA) entwickelt.Es sollte die Kommunikation zwischen verschiedenen Es sollte die Kommunikation zwischen verschiedenen Forschungseinrichtungen erleichtern.Forschungseinrichtungen erleichtern.schafft ein heterogenes Netzwerk mit offenen Protokollen, dass schafft ein heterogenes Netzwerk mit offenen Protokollen, dass unabhunabhäängig von Betriebssystem und Hardware ngig von Betriebssystem und Hardware –– Architektur ist.Architektur ist.TCP/IP steht fTCP/IP steht füür r „„Internet Internet ProtocolProtocol SuiteSuite““, dabei stehen TCP und IP , dabei stehen TCP und IP als Synonymeals Synonyme
Als TCP/IP dem BSD Als TCP/IP dem BSD –– UNIX beigefUNIX beigefüügt wurde, entwickelte sich gt wurde, entwickelte sich daraus die Grundlage auf der das Internet basiertdaraus die Grundlage auf der das Internet basiert
4 Schichten Modell4 Schichten Modell
Vom US Vom US ––VerteidigungsministeriumVerteidigungsministeriumJede Schicht fJede Schicht füügt ihre Daten gt ihre Daten hinzu (hinzu (HeaderHeader))Daten werden wie bei einem Daten werden wie bei einem StackStack nach unten gereichtnach unten gereichtBeim empfangen fBeim empfangen füührt der Weg hrt der Weg rrüückwckwäärtsrts
Kapselung von Kapselung von HeadernHeadern
Das ZusammenfDas Zusammenfüügen der einzelnengen der einzelnenHeaderHeader wird als wird als EncaspulationEncaspulation(Kapselung) bezeichnet.(Kapselung) bezeichnet.
Beim Datenempfang nimmt sichBeim Datenempfang nimmt sichjede Schicht sein jede Schicht sein HeaderHeader zumzumAusertenAuserten..
Bestandteile eines Bestandteile eines SniffersSniffers
CaptureCapture DriverDriver Klinkt sich in den Treiber der Netzwerkkarte oder Klinkt sich in den Treiber der Netzwerkkarte oder des DFdes DFÜÜ -- Adapters einAdapters ein
BufferBuffer Zwischenspeicher der empfangenen PaketeZwischenspeicher der empfangenen Pakete
FilterFilter Dient zum beschrDient zum beschräänken der Datenflut nken der Datenflut
DecoderDecoder Dient dem zerlegen der einzelnen Dient dem zerlegen der einzelnen HeaderHeader
Analyse Analyse --KomponenteKomponente
Untersucht die Pakete auf Fehler bei der Untersucht die Pakete auf Fehler bei der DatenDatenüübertragung oder auf das Vorhandensein von bertragung oder auf das Vorhandensein von Hackern.Hackern.
SniffingSniffing ToolTool‘‘ss
Ihr legitimer Einsatz ist in groIhr legitimer Einsatz ist in großßen Netzwerkenen NetzwerkenSind meist sehr Umfangreich an Funktionen und Sind meist sehr Umfangreich an Funktionen und VerwaltungsmVerwaltungsmööglichkeitenglichkeiten
SnifferSniffer nach Preis geordnet: nach Preis geordnet: LanDecoder32LanDecoder32 50005000€€CommViewCommView 99$99$AnalyzerAnalyzer freewarefreeware
AnalyzerAnalyzer
Entwickelt von der Entwickelt von der PolitechnischenPolitechnischen UniversitUniversitäät Turint TurinBinhaltetBinhaltet den den AnalyzerAnalyzer und den und den CaptureCapture TreiberTreiber
Vorteil:Vorteil:Sehr Sehr kostengkostengüüstigstigGuter Umfang an FunktionenGuter Umfang an Funktionen
Nachteil:Nachteil:Schwer zu bekommenSchwer zu bekommenSehr schwere Filtereinstellungen (ohne umfangreiches Fachwissen Sehr schwere Filtereinstellungen (ohne umfangreiches Fachwissen nicht zu bewnicht zu bewäältigen)ltigen)Probleme mit Windows 2000Probleme mit Windows 2000
CommViewCommView
Von Von TamosoftTamosoft herausgegeben gegen Aufpreis von 99$herausgegeben gegen Aufpreis von 99$Hilfreiche Features sind das Erstellen von Statistiken Hilfreiche Features sind das Erstellen von Statistiken üüber ber Netzwerkverkehr und BandbreiteNetzwerkverkehr und Bandbreite
Vorteile:Vorteile:KostengKostengüünstignstigEinfache und Schnelle HandhabungEinfache und Schnelle HandhabungKann eine TCP Kann eine TCP –– Session wieder zusammen fSession wieder zusammen füügen und als HEX, HTML gen und als HEX, HTML oder Text ausgebenoder Text ausgeben
Nachteile:Nachteile:Hat leichte VerzHat leichte Verzöögerung in der Auswertung der Paketegerung in der Auswertung der PaketeKann keine Bilder wieder zusammenfKann keine Bilder wieder zusammenfüügengen
Erste Schritte beim Erste Schritte beim SniffingSniffing
Man sollte zunMan sollte zunäächst grundlegende Filtereinstellungen chst grundlegende Filtereinstellungen vornehmen um nicht eine riesige Datenflut zu erhaltenvornehmen um nicht eine riesige Datenflut zu erhalten
Im Nachhinein kann man den Filter noch lockern, wenn Im Nachhinein kann man den Filter noch lockern, wenn man sich auch fman sich auch füür andere Pakete interessiert (Vorsicht, r andere Pakete interessiert (Vorsicht, dies ist teilweise nicht ganz legal !!!)dies ist teilweise nicht ganz legal !!!)
Outlook Outlook üüberwachtberwacht
Am Beispiel von Am Beispiel von CommViewCommView::Im Hauptreiter Regeln Im Hauptreiter Regeln Protokolle und Protokolle und Verzeichnisse selektieren die IP Verzeichnisse selektieren die IP –– Pakete die Pakete die an unseren Rechner gehen oder von ihm weg an unseren Rechner gehen oder von ihm weg gehengehenZusZusäätzlich setzen wir unter tzlich setzen wir unter „„IP IP –– AdresseAdresse““unsere eigene.unsere eigene.Man kann es noch weiter Eingrenzen, das Man kann es noch weiter Eingrenzen, das wird hier aber nicht benwird hier aber nicht benöötigt.tigt.
SniffingSniffing im Netzwerkim Netzwerk
Grundlegend gibt es zwei Typen:Grundlegend gibt es zwei Typen:Netzwerk mit HubNetzwerk mit HubNetzwerk mit Netzwerk mit SwitchSwitch
RouterRouter und Server sind und Server sind äähnlichhnlich
Netzwerk mit HubNetzwerk mit Hub
Ein Ein SnifferSniffer kann in diesemkann in diesemNetz alles filtern.Netz alles filtern.
HubHub‘‘ss sind keine Gefahrsind keine Gefahrffüür r SnifferSniffer..
Netzwerk mit Netzwerk mit SwitchSwitch
Sind eine sichere Variante Sind eine sichere Variante gegen gegen SnifferSniffer
Gute Gute SwitchesSwitches besitzen eine besitzen eine Funktion Funktion „„Port Port MirroringMirroring““ ffüür r den Administrator.den Administrator.
Es ist aber kein Allheilmittel, Es ist aber kein Allheilmittel, denn mit dem so genannten denn mit dem so genannten „„SwitchSwitch JammingJamming““ wird aus wird aus dem dem SwitchSwitch ein Hub.ein Hub.
AbwehrmaAbwehrmaßßnahmennahmen
An sich gibt es keinen Schutz vor An sich gibt es keinen Schutz vor SnifferSniffer!!
Man kann es aber einem Angreifer schwer Man kann es aber einem Angreifer schwer machen indem man ein gut machen indem man ein gut geswitchtesgeswitchtesNetzwerk aufbaut.Netzwerk aufbaut.
FirewallsFirewalls wwäären eine Mren eine Mööglichkeit, glichkeit, schrschräänken aber beide Seiten ein.nken aber beide Seiten ein.
Gab es schon Angriffe mit Gab es schon Angriffe mit SnifferSniffer??
Im Februar 1994 installierte ein Unbekannter einenNetzwerk-Sniffer auf zahlreiche Hosts undBackbone-Elemente und sammelte über dasInternet und Milnet mehr als 100.000 gültigeBenutzernamen und Paßwörter. Jeder Rechner,der Zugang über FTP, Telnet oder entferntesLogin bietet, ist in Gefahr. Alle vernetzten Hosts,auf denen ein Unix-Derivatläuft, sollten auf denbesonderen Promiscuous-Gerätetreiber untersucht werden,der es ermöglicht, daß ein Sniffer installiert werden kann.
FazitFazit
SnifferSniffer sind sehr hilfreiche sind sehr hilfreiche ToolTool‘‘ss um einum einNetzwerk zu optimieren. Leider werdenNetzwerk zu optimieren. Leider werdendiese Tools aber auch missbraucht fdiese Tools aber auch missbraucht füürrillegale Zwecke.illegale Zwecke.
QuellenQuellen
[1] [1] HackerHacker‘‘ss GuideGuide[2] [2] http://www.tecchannel.de/internet/209/index.htmlhttp://www.tecchannel.de/internet/209/index.html[3] [3] http://www.tecchannel.de/internet/717/index.htmlhttp://www.tecchannel.de/internet/717/index.html[4] [4] http://http://www.tecchannel.dewww.tecchannel.de//internetinternet/766//766/index.htmlindex.html