Wireshark Tutorial: Netzwerk- und Passwort-Sniffer

By: Oliver Jones Oliver Jones
Hours Aktualisiert

Computer kommunizieren über Netzwerke. Diese Netzwerke können sich in einem lokalen Netzwerk (LAN) befinden oder mit dem Internet verbunden sein. Netzwerk-Sniffer sind Programme, die Paketdaten auf niedriger Ebene erfassen, die über ein Netzwerk übertragen werden. Ein Angreifer kann diese Informationen analysieren, um wertvolle Informationen wie Benutzer-IDs und Passwörter zu entdecken.

In diesem Artikel stellen wir Ihnen gängige Techniken und Tools zum Aufspüren von Netzwerken vor. Wir werden uns auch mit Gegenmaßnahmen befassen, die Sie ergreifen können, um sensible Informationen zu schützen, die über ein Netzwerk übertragen werden.

Was ist Netzwerk-Sniffing?

Computer kommunizieren, indem sie Nachrichten über IP-Adressen in einem Netzwerk senden. Sobald eine Nachricht in einem Netzwerk gesendet wurde, antwortet der Empfängercomputer mit der passenden IP-Adresse mit seiner MAC-Adresse.

Unter Netzwerk-Sniffing versteht man das Abfangen von Datenpaketen, die über ein Netzwerk gesendet werden.Dies kann durch ein spezielles Softwareprogramm oder Hardware erfolgen. Schnüffeln kann man nutzen;

  • Erfassen Sie sensible Daten wie Anmeldeinformationen
  • Chat-Nachrichten abhören
  • Aufnahmedateien wurden über ein Netzwerk übertragen

Die folgenden Protokolle sind anfällig für Sniffing

  • Telnet
  • RLogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • fTP
  • IMAP

Die oben genannten Protokolle sind anfällig, wenn Anmeldedaten im Klartext gesendet werden

Netzwerk-Sniffing

Passives und aktives Schnüffeln

Bevor wir uns mit passivem und aktivem Sniffing befassen, schauen wir uns zwei wichtige Geräte an, die zur Vernetzung von Computern verwendet werden. Hubs und Switches.

Ein Hub funktioniert, indem er Broadcast-Nachrichten an alle darauf befindlichen Ausgangsports sendet, mit Ausnahme des Ports, der den Broadcast gesendet hat. Der Empfängercomputer antwortet auf die Broadcast-Nachricht, wenn die IP-Adresse übereinstimmt. Das bedeutet, dass bei Verwendung eines Hubs alle Computer in einem Netzwerk die Broadcast-Nachricht sehen können. Er arbeitet auf der physischen Schicht (Schicht 1) des OSI-Modell.

Das Diagramm unten zeigt, wie der Hub funktioniert.

Passives und aktives Schnüffeln

Ein Schalter funktioniert anders; Es ordnet IP/MAC-Adressen physischen Ports zu. Broadcast-Nachrichten werden an die physischen Ports gesendet, die den IP/MAC-Adresskonfigurationen für den Empfängercomputer entsprechen. Das bedeutet, dass Broadcast-Nachrichten nur vom Empfängercomputer gesehen werden. Switches arbeiten auf der Datenverbindungsschicht (Schicht 2) und der Netzwerkschicht (Schicht 3).

Das folgende Diagramm zeigt, wie der Schalter funktioniert.

Passives und aktives Schnüffeln

Beim passiven Sniffing werden Pakete abgefangen, die über ein Netzwerk übertragen werden, das einen Hub verwendet. Man nennt es passives Schnüffeln, weil es schwer zu erkennen ist. Dies ist auch einfach durchzuführen, da der Hub Broadcast-Nachrichten an alle Computer im Netzwerk sendet.

Beim aktiven Sniffing werden Pakete abgefangen, die über ein Netzwerk übertragen werden, das einen Switch verwendet. Es gibt zwei Hauptmethoden zum Aufspüren von Switch-verbundenen Netzwerken: ARP-Vergiftungund MAC-Flooding.

ÄHNLICHE ARTIKEL

Hacking-Aktivität: Netzwerkverkehr ausspionieren

In diesem praktischen Szenario werden wir Folgendes tun - Wireshark um Datenpakete abzuhören, während sie über das HTTP-Protokoll übertragen werden. In diesem Beispiel werden wir das Netzwerk mithilfe von „schnüffeln“. Wireshark, und melden Sie sich dann bei einer Webanwendung an, die keine sichere Kommunikation verwendet. Wir werden uns bei einer Webanwendung anmelden http://www.techpanda.org/

Die Login-Adresse lautet admin@google.com, und das Passwort ist Password2010.

Hinweis: Wir werden uns nur zu Demonstrationszwecken bei der Web-App anmelden. Die Technik kann auch Datenpakete von anderen Computern abhören, die sich im selben Netzwerk befinden wie der, den Sie zum Abhören verwenden. Das Sniffing beschränkt sich nicht nur auf techpanda.org, sondern schnüffelt auch alle Datenpakete von HTTP und anderen Protokollen.

Das Netzwerk mit schnüffeln Wireshark

Die folgende Abbildung zeigt Ihnen die Schritte, die Sie ausführen müssen, um diese Übung ohne Verwirrung abzuschließen

Das Netzwerk mit schnüffeln Wireshark

Herunterladen Wireshark von diesem Link http://www.wireshark.org/download.html

  • Öffne Wireshark
  • Sie erhalten den folgenden Bildschirm

Das Netzwerk mit schnüffeln Wireshark

  • Wählen Sie die Netzwerkschnittstelle aus, die Sie ausspionieren möchten. Beachten Sie, dass wir für diese Demonstration eine drahtlose Netzwerkverbindung verwenden. Wenn Sie sich in einem lokalen Netzwerk befinden, sollten Sie die lokale Netzwerkschnittstelle auswählen.
  • Klicken Sie wie oben gezeigt auf die Schaltfläche „Start“.

Das Netzwerk mit schnüffeln Wireshark

Das Netzwerk mit schnüffeln Wireshark

  • Die Login-E-Mail lautet admin@google.com und das Passwort ist Password2010
  • Klicken Sie auf die Schaltfläche Senden
  • Nach einer erfolgreichen Anmeldung sollte Ihnen das folgende Dashboard angezeigt werden

Das Netzwerk mit schnüffeln Wireshark

  • Gehen Sie zurück zu Wireshark und stoppen Sie die Live-Aufnahme

Das Netzwerk mit schnüffeln Wireshark

  • Filtern Sie nur nach HTTP-Protokollergebnissen mithilfe des Filtertextfelds

Das Netzwerk mit schnüffeln Wireshark

  • Suchen Sie in der Spalte „Info“ nach Einträgen mit dem HTTP-Verb „POST“ und klicken Sie darauf

Das Netzwerk mit schnüffeln Wireshark

  • Direkt unter den Protokolleinträgen befindet sich ein Bereich mit einer Zusammenfassung der erfassten Daten. Suchen Sie nach der Zusammenfassung mit der Aufschrift Zeilenbasierte Textdaten: application/x-www-form-urlencoded

Das Netzwerk mit schnüffeln Wireshark

  • Sie sollten in der Lage sein, die Klartextwerte aller POST-Variablen anzuzeigen, die über das HTTP-Protokoll an den Server übermittelt werden.

Was ist ein MAC-Flooding?

MAC-Flooding ist eine Netzwerk-Sniffing-Technik, die die MAC-Tabelle des Switches mit gefälschten MAC-Adressen überflutet. Dies führt zu einer Überlastung des Switch-Speichers und lässt ihn als Hub fungieren. Sobald der Switch kompromittiert wurde, sendet er die Broadcast-Nachrichten an alle Computer in einem Netzwerk. Dadurch ist es möglich, Datenpakete beim Senden im Netzwerk abzuhören.

Gegenmaßnahmen gegen MAC-Überschwemmungen

  • Einige Switches verfügen über die Port-Sicherheitsfunktion. Mit dieser Funktion kann die Anzahl begrenzt werden MAC-Adressen auf den Häfen. Es kann auch verwendet werden, um zusätzlich zu der vom Switch bereitgestellten eine sichere MAC-Adresstabelle zu verwalten.
  • Authentifizierungs-, Autorisierungs- und Buchhaltungsserver kann zum Filtern erkannter MAC-Adressen verwendet werden.

Schnüffel-Gegenmaßnahmen

  • Beschränkung auf physische Netzwerkmedien Reduziert die Wahrscheinlichkeit, dass ein Netzwerk-Sniffer installiert wurde, erheblich
  • Nachrichten verschlüsseln Da sie über das Netzwerk übertragen werden, verringert sich ihr Wert erheblich, da sie schwer zu entschlüsseln sind.
  • Ändern des Netzwerks in eine Secure Shell (SSH)Netzwerk verringert auch die Wahrscheinlichkeit, dass das Netzwerk ausgespäht wird.

Zusammenfassung

  • Beim Netzwerk-Sniffing werden Pakete abgefangen, während sie über das Netzwerk übertragen werden
  • Passives Sniffing erfolgt in einem Netzwerk, das einen Hub verwendet. Es ist schwer zu erkennen.
  • Aktives Sniffing erfolgt in einem Netzwerk, das einen Switch verwendet. Es ist leicht zu erkennen.
  • MAC-Flooding funktioniert, indem die MAC-Tabellen-Adressliste mit gefälschten MAC-Adressen überflutet wird. Dadurch funktioniert der Switch wie ein HUB
  • Die oben beschriebenen Sicherheitsmaßnahmen können dazu beitragen, das Netzwerk vor Sniffing zu schützen.