Geswichtes Netzwerk sniffen?

[given_to_fly]

Hi.

Meine Frage ist eigentlich ganz simpel und ich hoffe sie ist auch so einfach zu beantworten:

Warum kann ich ein geswitchtes Netzwerk nicht sniffen??

mfg

hex0r

[d.r.eam]

Guten Morgen

Ein Switch stellt eine Point to Point Verbindung zwischen Rechnern her, die mit einnander

kommunizieren wollen. Also man bekommt nur die Daten die einem zustehen, ähnlich der Verbindung deines Einwahlrechners mit dem Provider.

War das einfach genug? :-)

mfg

[nic_power]

Dazu sollte man noch sagen, das viele Switches die Moeglichkeit bieten (zumindest die etwas "besseren"), den gesamten Verkehr der ueber den Switch geht gezielt auf einem Port auszugeben.

Nic

[given_to_fly]

Original geschrieben von d.r.eam

Guten Morgen

Ein Switch stellt eine Point to Point Verbindung zwischen Rechnern her, die mit einnander

kommunizieren wollen. Also man bekommt nur die Daten die einem zustehen, ähnlich der Verbindung deines Einwahlrechners mit dem Provider.

War das einfach genug? :-)

mfg

Also heisst das das ich doch Sniffen kann...

Aber nur die Verbindung zwischen mir und den Rechner mit den ich kommuniziere richtig??

[nic_power]

Original geschrieben von Hexdump

Also heisst das das ich doch Sniffen kann...

Aber nur die Verbindung zwischen mir und den Rechner mit den ich kommuniziere richtig??

Die klare Antwort lautet "Jain" . Wenn Du keinen Zugriff auf den Switch hast, kannst Du nur Verkehr zwischen Dir und den Rechnern sniffen die mit Dir kommunizieren (und ein bisschen Broad- und gegebenenfalls Multicast-Traffic).

Wenn der Switch es zulaesst und Du auf diesen Zugriff hast, kannst Du einen speziellen Port am Switch so konfigurieren, dass saemtlicher Verkehr der ueber den Switch geht auch auf diesem Port sichtbar ist. Allerdings bieten nicht alle Switches diese Moeglichkeit (ein Cisco Catalyst kann das beispielsweise).

Nic

[given_to_fly]

AHHHHHHHHHHH

Verstanden...

Vielen Dank

[daking]

Es stimmt schon, dass du normalerweise nur verkehr der an dich, Multicast oder Broadcast ist sniffen kannst. Es gibt jedoch möglichkeiten auch in geswitchten Umgebungen den gesammten Verkehr mit zu schneiden. Erstens könntest du einen Mirrorport auf dem Switch einrichten, der den gesammten verkehr spiegelt.

Es gibt jedoch noch zwei weitere Techniken (Angriffe).

1. Mac - flooding

Bei diesem Angriff wird der Mac zu IP Table mit sinnlosen Mac einträgen geflutet. Einige Switches schalten dann auf durchzug und senden alle Pakete auf allen Ports (werden zum HUB).

Dieser Angriff kann aber auch schnell in die Hose gehe, da manche Switches auch hängen bleiben. Außerdem ist diese Technik sehr auffällig (Traffic, Switch auslastung).

Tool:

Die Dsniff Tools ermöglichen diesen Angriff. Macof läuft jedoch nur auf Unix basierenden Betriebssystemen.

http://www.monkey.org/~dugsong/dsniff/

2. ICMP-Redirect (Local Router)

Bei dieser Technik wird der gesamte Traffic im Netzwerk nicht mehr über den Switch sondern über dich geleitet. Du wirst also zum Switch. Die besten Tools die ich für diese ARP-Spoofing oder ICMP-Redirect Technik kenne sind Ettercap und Hunt.

Ettercap

http://ettercap.sourceforge.net/download

Hunt

http://www.mirrors.wiretapped.net/security/packet-capture/hunt/

Diese Technik funktioniert sehr gut. Ich setze sie oft für eine schelle Netzwerkanalyse ein, da du mit ettercap auch geziehlt den Verkehr zwischen mehreren Host umleiten kannst.

Ciao

[cesm]

du kannst ein geswitchtes netzwerk ruhig sniffen, aber nur alle pakete lesen, die auch nur über physikalische verbindungen zu dir kommen. ein layer 3 switch stellt nur alle pakete dir zu, die auch deiner macadresse zugehörig sind. ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig. es teilt der anderen system mit das du du mit der ip xxx.xxx.xxx.xxx die mac adress blabla hast. wenn das andere system dir ein paket zurueck schickt, dann hat es die im haeder nun deine mac adresse, und der switch kann nun dieses auch richtig routen, und zwar explizit nur an dich.

das erste paket aber, geht nun aus allen port heraus und der rechner mit der richtigen ip nimmt es an, trägt deine mac adresse mit deiner ip in die arp tabelle und schickt ein paket mit der gleichen funktion zurück, um dir dann wieder seine mac adresse mitzuteilen. erst jetzt kann man richtig sicher sein, dass alle ip pakete an nur den richtigen rechner gehen.

[hades]

Original geschrieben von cesm

ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig. es teilt der anderen system mit das du du mit der ip xxx.xxx.xxx.xxx die mac adress blabla hast.

Das Address Resolution Protocol (ARP), welches eine bekannte IP zu einer unbekannten MAC-Adresse zuordnet, liegt im OSI-Modell auf Schicht 3.

Schicht 5 ist fuer die Sitzungssteuerung.

[cesm]

ich rede vom layer5, weil der nunmal für den verbindungs auf- und abbau zuständig ist.

hast wohl was falsch verstanden

ein paket was du vor einem "verbindungsaufbau über ein layer 5 protokoll" sendest

[Klotzkopp]

Original geschrieben von cesm

ich rede vom layer5, weil der nunmal für den verbindungs auf- und abbau zuständig ist.

Sorry, aber ich denke, das ist Mumpitz. Was auf Layer 5 abgeht, davon bekommt ein Switch gar nichts mit, und er funktioniert auch ohne Layer 5-Protokolle. Wenn Du da andere Informationen hast, dann solltest Du ein wenig deutlicher werden.

[cesm]

könnt ihr nicht lesen, ich mein es ist wirklich *******e geschrieben, ich hatte nicht viel zeit, aber wo sag ich denn was davon das ein switch layer5 versteht??? ein system was layer5 versteht ist eine firewall mit stateful inspections....

klotz: hast du überhaupt meinen text gelesen??? ich sprach über ein paket welches auf einem rechner für das arp auskunft über die mac adresse und ip gibt, und das dies ein paket ist was vor jeder layer5 kommunikation erst einmal jedes der beiden systeme ausgehändigt wird.

[nic_power]

Original geschrieben von cesm

[b

klotz: hast du überhaupt meinen text gelesen??? ich sprach über ein paket welches auf einem rechner für das arp auskunft über die mac adresse und ip gibt, und das dies ein paket ist was vor jeder layer5 kommunikation erst einmal jedes der beiden systeme ausgehändigt wird.

Ein Layer-3 Switch arbeitet auf Layer-3 (wie der Name schon sagt), mit Layer-5 hat das absolut nichts zu tun. Ein Layer-3 Switch verwendet ueblicherweise die IP-Adressen fuer die Switching-Enscheidung, nicht die MAC-Adressen (das waere ein Layer-2 Switch). Im Gegensatz zu einem Router ist das Switching in Hardware - beispielsweise einem ASIC - implementiert. Weitere Informationen findest Du beispielsweise hier: http://www.cisco.com/warp/public/cc/so/neso/lnso/cpso/l3c85_wp.htm

Nic

[cesm]

ja es ist layer 2 nicht 3, aber wo verdammt nochmal schreibe ich, dass der switch etwas mit layer 5 zu tun hat, ich rede von arp und das dieses protokoll zum einsatz kommt bevor jegliche layer5 kommunikation zustande kommt

[nic_power]

sorry, doppelpost.

Nic

[nic_power]

is mir zu doof... kannst wohl auch net lesen...

Doch, klar kann ich lesen. Aber wie waers, wenn Du uns einfach erklaerst, was Du meinst bzw. was ein Layer-3 Switch mit Layer-5 zu tun hat. Es gibt hier sicherlich einige Leute, die das interessiert (und die auch gerne was dazu lernen).

Nic

[cesm]

nic: sorry für die vorrige von mir editierte doofe antwort. aber ich habe nun schon mehrmals gesagt, dass das switching damit nichts zu tun hat. ich wollte nur nochmal sagen, dass bevor z.B. eine TCP Verbindung (Handshake--->Layer5 verbindungsaufbau etc.) zustande kommt, immer erst ein austausch durch arp stattfindet (rfc 826 zum nachschlagen), sofern dies auf dem system vorhanden ist.

NOCHMAL LAYER 5 hat absolut garnichts mit einem standard switch zu tun. mir sind keine switchs bekannt, die tiefer als layer3 gehen, und diese bennene ich dann auch lieber als router(egal ob hardware oder software).

[Klotzkopp]

Original geschrieben von cesm

aber wo verdammt nochmal schreibe ich, dass der switch etwas mit layer 5 zu tun hat

Hier:

ausnahme ist das erste paket was du vor einem verbindungsaufbau über ein layer 5 protokoll sendest, dieses paket ist für das adress resolution protocol zuständig

Hier habe ich herausgelesen, dass Du meinst, dass keine Adressauflösung und kein Switching zustande kommt, bevor nicht irgendeine Kommunikation auf Layer 5 stattfindet.

Kann sein, dass das ein Mißverständnis war. Darum habe ich Dich gebeten, deutlicher zu werden.

[RavenX2]

Original geschrieben von daking

1. Mac - flooding

Bei diesem Angriff wird der Mac zu IP Table mit sinnlosen Mac einträgen geflutet. Einige Switches schalten dann auf durchzug und senden alle Pakete auf allen Ports (werden zum HUB).

Dieser Angriff kann aber auch schnell in die Hose gehe, da manche Switches auch hängen bleiben. Außerdem ist diese Technik sehr auffällig (Traffic, Switch auslastung).

Tool:

Die Dsniff Tools ermöglichen diesen Angriff. Macof läuft jedoch nur auf Unix basierenden Betriebssystemen.

http://www.monkey.org/~dugsong/dsniff/

Hmm ist das nicht ein Linux file? *.tar.gz

Gibts das Tool auch für WIN Systeme?

[nic_power]

Original geschrieben von Klotzkopp

Hier habe ich herausgelesen, dass Du meinst, dass keine Adressauflösung und kein Switching zustande kommt, bevor nicht irgendeine Kommunikation auf Layer 5 stattfindet.

Das hatte ich auch so verstanden, allerdings ist eine Kommunikation ueber Layer-5 nicht Voraussetzung.

Prinzipiell gibt es zwei Moeglichkeiten beim Layer-3 Switching: Packet-By-Packet und Flow-Based. Im ersten Fall wird jedes einzelne Paket auf Layer-3 (IP-Layer) ausgewertet und geswitched (bzw. gerouted, da ein Packet-by-Packet Switching eigentlich nichts anderes als ein Routing in Hardware ist), im zweiten Fall wird nur das erste Pakete eines Flows auf Layer-3 ausgewertet und zum Ziel geroutet, alle weiteren Pakete die zum selben Flow gehoeren werden auf Layer-2 geswitched. L3-Switches haben den Vorteil, dass sie interoperable mit den im Netz vorhandenen Routern sind (beispielsweise werten sie Routing-Informationen aus).

Es gibt uebrigens auch Layer-4 Switches, die nicht nur MAC und/oder IP-Adresse verwenden, sondern auf Protokoll-Basis (HTTP, FTP, etc) switchen koennen. Einsetzen laesst sich sowas im Bereich CDN/Content Management da sich mit L4-Switches sehr gut Load-Balancing und Request-Rerouting Funktionen implementieren lassen. Entsprechende Produkte werden beispielsweise von verschiedenen Herstellern angeboten.

Nic

[cesm]

jo es war ein missverständnis.

ich hab mal eben gegoogelt und es gibt sogar layer5-7 switchs, denn sinn darin wollte ich aber erst garnicht entnehmen.

zu deinem layer4 switch: es ist ja schön, dass diese soetwas routen können. nur fehlt mir irgendwie der bezug, kannst du das eventuell auch mal genauer erklären? wann findet denn eine anfrage auf einen service ohne ip adresse statt? von broadcasts mal abgesehen, denn diese kann man wohl kaum auf ftp und http anwenden.

[nic_power]

Original geschrieben von cesm

jo es war ein missverständnis.

ich hab mal eben gegoogelt und es gibt sogar layer5-7 switchs, denn sinn darin wollte ich aber erst garnicht entnehmen.

zu deinem layer4 switch: es ist ja schön, dass diese soetwas routen können. nur fehlt mir irgendwie der bezug, kannst du das eventuell auch mal genauer erklären? wann findet denn eine anfrage auf einen service ohne ip adresse statt? von broadcasts mal abgesehen, denn diese kann man wohl kaum auf ftp und http anwenden.

Mit Broadcasts hat das nichts mehr zu tun. Ein Layer-4 Switch arbeitet auf Protokollebene (beispielsweise http oder ftp). Beispiel: *** stellt den neuen Internet Explorer 7.0 ins Netz, ein einzelner Server ist dem Ansturm ueblicherweise nicht gewachsen. Greift ein Benutzer auf den entsprechenden URL zu, so werden Layer-4 Switches eingesetzt, die den Zugriff auf einen Cache umleiten, der diese Datei ebenfalls zur Verfuegung stellt. Das ganze ist dabei voellig transparent fuer den Endbenutzer. Erkennen laesst sich dieser Vorgang unter Umstaenden ebenfalls, wenn man beispielsweise auf http://www.microsoft.de/xxx zugreift und der Download anzeigt, dass die Datei ueber "http://akamai45.provider.de/xxx" (Akamai betreibt globale CDNs) bezogen wird. In diesem Fall ist eine Rerouting des http-request erfolgt.

Hauptproblem ist momentan, dass viele der eingesetzten Mechanismen proprietäre Lösungen sind. Aus diesem Grund gibt es in der IETF eine eigene WG (CDI, http://www.ietf.org/html.charters/cdi-charter.html) die sich mit dem Interworking unterschiedlicher CDNs beschäftigt.

Nic

[cesm]

hm die frage ist, ob sowas noch viel mit switching zu tun hat, denn ein unix beispielsweise kann man so konfigurieren, dass es durch qos oder auch sogar durch ipf auch nach bestimmten bedingungen einfach redirected und dafür brauch man kein layer4.

[nic_power]

Man sollte sich von dem Gedanken frei machen, dass L2/L3-Switching und L4 Swiching was miteinander zu tun haben ;-). Ein L4-Switch analysiert einen HTTP-Request und modifiziert ihn (bzw. beantwortet ihn). QoS auf IP-Ebene ist ein voellig anderer Mechanismus.

Nic

[cesm]

sagte ich das mal wieder, irgendwie reimt ihr euch hier alle ganz gern einen zurecht

ich sagte, dass man das gleiche ergebnis wie du es beschrieben hast auch damit erreichen kann und man dafuer keinen layer4 brauch.

ich hab mich am anfang immer immer angefragt, warum hier jeder jeden zitiert, ich fand es irgendie nervig, aber jetzt weiss ich warum es hier jeder macht