SnifferSniffer

Proseminar:Proseminar:

„„Electronic Commerce und Electronic Commerce und Digitale UnterschriftenDigitale Unterschriften““

Proseminar Leiter: Dr. Ulrich Tamm

Vortragender: Stefan Raue

Datum: 29.06.2004

GliederungGliederung

Was sind Was sind SnifferSniffer??EinfEinfüührung Ethernethrung Ethernet

GrundlagenGrundlagenPaketformatPaketformat

Standard TCP/IPStandard TCP/IP4 Schichten Modell4 Schichten ModellKapselung von Kapselung von HeadernHeadern

BestandteileBestandteileSniffingSniffing--ToolsTools

AnalyzerAnalyzerCommViewCommView

Erste Schritte beim Erste Schritte beim SniffingSniffingSniffingSniffing im Netzwerkim Netzwerk

LanLan mit Hubmit HubLanLan mit mit Switch

AbwehrmaAbwehrmaßßnahmennahmenGab es schon Angriffe mit Gab es schon Angriffe mit SnifferSniffer??FazitFazitQuellenQuellenFragenFragen

Switch

Was sind Was sind SnifferSniffer??

Sind GerSind Gerääte oder Programme zum Abfangen te oder Programme zum Abfangen von Datenvon DatenLegitimer Zweck ist die Analyse von Legitimer Zweck ist die Analyse von Netzwerkverkehr und Identifizieren von Netzwerkverkehr und Identifizieren von ProblemenProblemenSie unterscheiden sich in Funktionsumfang, Sie unterscheiden sich in Funktionsumfang, Design und KostenDesign und Kosten

EthernetEthernet

So fing alles an: So fing alles an: Die erste SchemazeichnungDie erste Schemazeichnungdes Ethernet von Dr. Robertdes Ethernet von Dr. RobertMetcalfe.Metcalfe.

GrundlagenGrundlagen

Ethernet basiert auf dem CSMAD/CD ProtokollEthernet basiert auf dem CSMAD/CD ProtokollMultiple AccessMultiple AccessCarrierCarrier SenseSenseCollisionCollision DetectionDetection

FFüür erfolgreichen Einsatz des CSMA/CD Protokolls muss die r erfolgreichen Einsatz des CSMA/CD Protokolls muss die doppelte maximale Laufzeit zwischen zwei Stationen kdoppelte maximale Laufzeit zwischen zwei Stationen küürzer sein als rzer sein als die die ÜÜbertragungsdauer der kbertragungsdauer der küürzesten zulrzesten zuläässigen Pakete.ssigen Pakete.MindestlMindestläänge eines Pakets 64 nge eines Pakets 64 bytebyte (= 512 Bits)(= 512 Bits)In einem 10MBps Netz darf die In einem 10MBps Netz darf die ÜÜbertragung nicht lbertragung nicht läänger als 51,2nger als 51,2µµs s dauern.dauern.

DatenverkehrDatenverkehr

Ist ein Ist ein paketvermittelndespaketvermittelndesNetzwerkNetzwerk

Daten geteilt in kleine EinheitenDaten geteilt in kleine Einheiten(Pakete oder (Pakete oder FramesFrames))Jedes Paket lJedes Paket lääuft autonom durchs uft autonom durchs NetzNetzAm Ziel werden sie wieder Am Ziel werden sie wieder zusammengefzusammengefüügtgt

Jedes Paket wird an jede Station Jedes Paket wird an jede Station verschicktverschicktIdentifikation der Rechner lIdentifikation der Rechner lääuft uft üüber ber HardcodierteHardcodierte MAC MAC -- AdresseAdresse

NameName LLäängenge ErlErlääuterunguterung

PrPrääambelambel 77 TaktsynchronisationTaktsynchronisation

DatenDaten 00--15001500

Beginn des Beginn des Rahmen Rahmen --begrenzersbegrenzers

11 Ab hier beginnt das Ab hier beginnt das eigentliche Datenpaket und eigentliche Datenpaket und die Kollisionserkennung.die Kollisionserkennung.

ZieladresseZieladresse 66 MAC MAC –– AdresseAdresse

QuelladrQuelladr.. 66 MAC MAC –– AdresseAdresse

LLäänge des nge des DatenfeldesDatenfeldes

22

PaddingPadding 00--4646 FFüüllt bis 64 llt bis 64 bytebyte aufauf

PrPrüüfsummefsumme 44 PrPrüüfung ob Paket fung ob Paket angekommen istangekommen ist

Standard TCP/IPStandard TCP/IP

Erstmals Mitte der 70er Jahre auf Erstmals Mitte der 70er Jahre auf IntereseeInteresee des amerikanischen des amerikanischen DefenseDefense AdvancedAdvanced Research (DARPA) entwickelt.Research (DARPA) entwickelt.Es sollte die Kommunikation zwischen verschiedenen Es sollte die Kommunikation zwischen verschiedenen Forschungseinrichtungen erleichtern.Forschungseinrichtungen erleichtern.schafft ein heterogenes Netzwerk mit offenen Protokollen, dass schafft ein heterogenes Netzwerk mit offenen Protokollen, dass unabhunabhäängig von Betriebssystem und Hardware ngig von Betriebssystem und Hardware –– Architektur ist.Architektur ist.TCP/IP steht fTCP/IP steht füür r „„Internet Internet ProtocolProtocol SuiteSuite““, dabei stehen TCP und IP , dabei stehen TCP und IP als Synonymeals Synonyme

Als TCP/IP dem BSD Als TCP/IP dem BSD –– UNIX beigefUNIX beigefüügt wurde, entwickelte sich gt wurde, entwickelte sich daraus die Grundlage auf der das Internet basiertdaraus die Grundlage auf der das Internet basiert

4 Schichten Modell4 Schichten Modell

Vom US Vom US ––VerteidigungsministeriumVerteidigungsministeriumJede Schicht fJede Schicht füügt ihre Daten gt ihre Daten hinzu (hinzu (HeaderHeader))Daten werden wie bei einem Daten werden wie bei einem StackStack nach unten gereichtnach unten gereichtBeim empfangen fBeim empfangen füührt der Weg hrt der Weg rrüückwckwäärtsrts

Kapselung von Kapselung von HeadernHeadern

Das ZusammenfDas Zusammenfüügen der einzelnengen der einzelnenHeaderHeader wird als wird als EncaspulationEncaspulation(Kapselung) bezeichnet.(Kapselung) bezeichnet.

Beim Datenempfang nimmt sichBeim Datenempfang nimmt sichjede Schicht sein jede Schicht sein HeaderHeader zumzumAusertenAuserten..

Bestandteile eines Bestandteile eines SniffersSniffers

CaptureCapture DriverDriver Klinkt sich in den Treiber der Netzwerkkarte oder Klinkt sich in den Treiber der Netzwerkkarte oder des DFdes DFÜÜ -- Adapters einAdapters ein

BufferBuffer Zwischenspeicher der empfangenen PaketeZwischenspeicher der empfangenen Pakete

FilterFilter Dient zum beschrDient zum beschräänken der Datenflut nken der Datenflut

DecoderDecoder Dient dem zerlegen der einzelnen Dient dem zerlegen der einzelnen HeaderHeader

Analyse Analyse --KomponenteKomponente

Untersucht die Pakete auf Fehler bei der Untersucht die Pakete auf Fehler bei der DatenDatenüübertragung oder auf das Vorhandensein von bertragung oder auf das Vorhandensein von Hackern.Hackern.

SniffingSniffing ToolTool‘‘ss

Ihr legitimer Einsatz ist in groIhr legitimer Einsatz ist in großßen Netzwerkenen NetzwerkenSind meist sehr Umfangreich an Funktionen und Sind meist sehr Umfangreich an Funktionen und VerwaltungsmVerwaltungsmööglichkeitenglichkeiten

SnifferSniffer nach Preis geordnet: nach Preis geordnet: LanDecoder32LanDecoder32 50005000€€CommViewCommView 99$99$AnalyzerAnalyzer freewarefreeware

AnalyzerAnalyzer

Entwickelt von der Entwickelt von der PolitechnischenPolitechnischen UniversitUniversitäät Turint TurinBinhaltetBinhaltet den den AnalyzerAnalyzer und den und den CaptureCapture TreiberTreiber

Vorteil:Vorteil:Sehr Sehr kostengkostengüüstigstigGuter Umfang an FunktionenGuter Umfang an Funktionen

Nachteil:Nachteil:Schwer zu bekommenSchwer zu bekommenSehr schwere Filtereinstellungen (ohne umfangreiches Fachwissen Sehr schwere Filtereinstellungen (ohne umfangreiches Fachwissen nicht zu bewnicht zu bewäältigen)ltigen)Probleme mit Windows 2000Probleme mit Windows 2000

AnalyzerAnalyzer

CommViewCommView

Von Von TamosoftTamosoft herausgegeben gegen Aufpreis von 99$herausgegeben gegen Aufpreis von 99$Hilfreiche Features sind das Erstellen von Statistiken Hilfreiche Features sind das Erstellen von Statistiken üüber ber Netzwerkverkehr und BandbreiteNetzwerkverkehr und Bandbreite

Vorteile:Vorteile:KostengKostengüünstignstigEinfache und Schnelle HandhabungEinfache und Schnelle HandhabungKann eine TCP Kann eine TCP –– Session wieder zusammen fSession wieder zusammen füügen und als HEX, HTML gen und als HEX, HTML oder Text ausgebenoder Text ausgeben

Nachteile:Nachteile:Hat leichte VerzHat leichte Verzöögerung in der Auswertung der Paketegerung in der Auswertung der PaketeKann keine Bilder wieder zusammenfKann keine Bilder wieder zusammenfüügengen

CommViewCommView

Erste Schritte beim Erste Schritte beim SniffingSniffing

Man sollte zunMan sollte zunäächst grundlegende Filtereinstellungen chst grundlegende Filtereinstellungen vornehmen um nicht eine riesige Datenflut zu erhaltenvornehmen um nicht eine riesige Datenflut zu erhalten

Im Nachhinein kann man den Filter noch lockern, wenn Im Nachhinein kann man den Filter noch lockern, wenn man sich auch fman sich auch füür andere Pakete interessiert (Vorsicht, r andere Pakete interessiert (Vorsicht, dies ist teilweise nicht ganz legal !!!)dies ist teilweise nicht ganz legal !!!)

Outlook Outlook üüberwachtberwacht

Am Beispiel von Am Beispiel von CommViewCommView::Im Hauptreiter Regeln Im Hauptreiter Regeln Protokolle und Protokolle und Verzeichnisse selektieren die IP Verzeichnisse selektieren die IP –– Pakete die Pakete die an unseren Rechner gehen oder von ihm weg an unseren Rechner gehen oder von ihm weg gehengehenZusZusäätzlich setzen wir unter tzlich setzen wir unter „„IP IP –– AdresseAdresse““unsere eigene.unsere eigene.Man kann es noch weiter Eingrenzen, das Man kann es noch weiter Eingrenzen, das wird hier aber nicht benwird hier aber nicht benöötigt.tigt.

Outlook Outlook üüberwachtberwacht

SniffingSniffing im Netzwerkim Netzwerk

Grundlegend gibt es zwei Typen:Grundlegend gibt es zwei Typen:Netzwerk mit HubNetzwerk mit HubNetzwerk mit Netzwerk mit SwitchSwitch

RouterRouter und Server sind und Server sind äähnlichhnlich

Netzwerk mit HubNetzwerk mit Hub

Ein Ein SnifferSniffer kann in diesemkann in diesemNetz alles filtern.Netz alles filtern.

HubHub‘‘ss sind keine Gefahrsind keine Gefahrffüür r SnifferSniffer..

Netzwerk mit Netzwerk mit SwitchSwitch

Sind eine sichere Variante Sind eine sichere Variante gegen gegen SnifferSniffer

Gute Gute SwitchesSwitches besitzen eine besitzen eine Funktion Funktion „„Port Port MirroringMirroring““ ffüür r den Administrator.den Administrator.

Es ist aber kein Allheilmittel, Es ist aber kein Allheilmittel, denn mit dem so genannten denn mit dem so genannten „„SwitchSwitch JammingJamming““ wird aus wird aus dem dem SwitchSwitch ein Hub.ein Hub.

AbwehrmaAbwehrmaßßnahmennahmen

An sich gibt es keinen Schutz vor An sich gibt es keinen Schutz vor SnifferSniffer!!

Man kann es aber einem Angreifer schwer Man kann es aber einem Angreifer schwer machen indem man ein gut machen indem man ein gut geswitchtesgeswitchtesNetzwerk aufbaut.Netzwerk aufbaut.

FirewallsFirewalls wwäären eine Mren eine Mööglichkeit, glichkeit, schrschräänken aber beide Seiten ein.nken aber beide Seiten ein.

Gab es schon Angriffe mit Gab es schon Angriffe mit SnifferSniffer??

Im Februar 1994 installierte ein Unbekannter einenNetzwerk-Sniffer auf zahlreiche Hosts undBackbone-Elemente und sammelte über dasInternet und Milnet mehr als 100.000 gültigeBenutzernamen und Paßwörter. Jeder Rechner,der Zugang über FTP, Telnet oder entferntesLogin bietet, ist in Gefahr. Alle vernetzten Hosts,auf denen ein Unix-Derivatläuft, sollten auf denbesonderen Promiscuous-Gerätetreiber untersucht werden,der es ermöglicht, daß ein Sniffer installiert werden kann.

FazitFazit

SnifferSniffer sind sehr hilfreiche sind sehr hilfreiche ToolTool‘‘ss um einum einNetzwerk zu optimieren. Leider werdenNetzwerk zu optimieren. Leider werdendiese Tools aber auch missbraucht fdiese Tools aber auch missbraucht füürrillegale Zwecke.illegale Zwecke.

QuellenQuellen

[1] [1] HackerHacker‘‘ss GuideGuide[2] [2] http://www.tecchannel.de/internet/209/index.htmlhttp://www.tecchannel.de/internet/209/index.html[3] [3] http://www.tecchannel.de/internet/717/index.htmlhttp://www.tecchannel.de/internet/717/index.html[4] [4] http://http://www.tecchannel.dewww.tecchannel.de//internetinternet/766//766/index.htmlindex.html

Fragen?Fragen?