Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum:

Transkript

1 Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum:

2 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen Paketformat Standard TCP/IP 4 Schichten Modell Kapselung von Headern Bestandteile Sniffing-Tools Analyzer CommView Erste Schritte beim Sniffing Sniffing im Netzwerk Lan mit Hub Lan mit Switch Abwehrmaßnahmen Gab es schon Angriffe mit Sniffer? Fazit Quellen Fragen

3 Was sind Sniffer? Sind Geräte oder Programme zum Abfangen von Daten Legitimer Zweck ist die Analyse von Netzwerkverkehr und Identifizieren von Problemen Sie unterscheiden sich in Funktionsumfang, Design und Kosten

4 Ethernet So fing alles an: Die erste Schemazeichnung des Ethernet von Dr. Robert Metcalfe.

5 Grundlagen Ethernet basiert auf dem CSMAD/CD Protokoll Multiple Access Carrier Sense Collision Detection Für r erfolgreichen Einsatz des CSMA/CD Protokolls muss die doppelte maximale Laufzeit zwischen zwei Stationen kürzer k sein als die Übertragungsdauer der kürzesten k zulässigen Pakete. Mindestlänge nge eines Pakets 64 byte (= 512 Bits) In einem 10MBps Netz darf die Übertragung nicht länger l als 51,2µs dauern.

6 Datenverkehr Name Länge Erläuterung Präambel 7 Taktsynchronisation Beginn des Rahmen - begrenzers Daten Ab hier beginnt das eigentliche Datenpaket und die Kollisionserkennung. Zieladresse 6 MAC Adresse Quelladr. 6 MAC Adresse Länge des Datenfeldes 2 Padding 0-46 Füllt bis 64 byte auf Prüfsumme 4 Prüfung ob Paket angekommen ist Ist ein paketvermittelndes Netzwerk Daten geteilt in kleine Einheiten (Pakete oder Frames) Jedes Paket läuft l autonom durchs Netz Am Ziel werden sie wieder zusammengefügt gt Jedes Paket wird an jede Station verschickt Identifikation der Rechner läuft l über Hardcodierte MAC - Adresse

7 Standard TCP/IP Erstmals Mitte der 70er Jahre auf Interesee des amerikanischen Defense Advanced Research (DARPA) entwickelt. Es sollte die Kommunikation zwischen verschiedenen Forschungseinrichtungen erleichtern. schafft ein heterogenes Netzwerk mit offenen Protokollen, dass unabhängig ngig von Betriebssystem und Hardware Architektur ist. TCP/IP steht für f Internet Protocol Suite,, dabei stehen TCP und IP als Synonyme Als TCP/IP dem BSD UNIX beigefügt gt wurde, entwickelte sich daraus die Grundlage auf der das Internet basiert

8 4 Schichten Modell Vom US Verteidigungsministerium Jede Schicht fügt f ihre Daten hinzu (Header( Header) Daten werden wie bei einem Stack nach unten gereicht Beim empfangen führt f der Weg rückwärts

9 Kapselung von Headern Das Zusammenfügen der einzelnen Header wird als Encaspulation (Kapselung) bezeichnet. Beim Datenempfang nimmt sich jede Schicht sein Header zum Auserten.

10 Bestandteile eines Sniffers Capture Driver Buffer Filter Decoder Analyse - Komponente Klinkt sich in den Treiber der Netzwerkkarte oder des DFÜ - Adapters ein Zwischenspeicher der empfangenen Pakete Dient zum beschränken der Datenflut Dient dem zerlegen der einzelnen Header Untersucht die Pakete auf Fehler bei der Datenübertragung oder auf das Vorhandensein von Hackern.

11 Sniffing Tool s Ihr legitimer Einsatz ist in großen Netzwerken Sind meist sehr Umfangreich an Funktionen und Verwaltungsmöglichkeiten glichkeiten Sniffer nach Preis geordnet: LanDecoder CommView 99$ Analyzer freeware

12 Analyzer Entwickelt von der Politechnischen Universität t Turin Binhaltet den Analyzer und den Capture Treiber Vorteil: Sehr kostengüstig stig Guter Umfang an Funktionen Nachteil: Schwer zu bekommen Sehr schwere Filtereinstellungen (ohne umfangreiches Fachwissen nicht zu bewältigen) Probleme mit Windows 2000

13 Analyzer

14 CommView Von Tamosoft herausgegeben gegen Aufpreis von 99$ Hilfreiche Features sind das Erstellen von Statistiken über Netzwerkverkehr und Bandbreite Vorteile: Kostengünstig nstig Einfache und Schnelle Handhabung Kann eine TCP Session wieder zusammen fügen f und als HEX, HTML oder Text ausgeben Nachteile: Hat leichte Verzögerung in der Auswertung der Pakete Kann keine Bilder wieder zusammenfügen

15 CommView

16 Erste Schritte beim Sniffing Man sollte zunächst grundlegende Filtereinstellungen vornehmen um nicht eine riesige Datenflut zu erhalten Im Nachhinein kann man den Filter noch lockern, wenn man sich auch für f r andere Pakete interessiert (Vorsicht, dies ist teilweise nicht ganz legal!!!)

17 Outlook überwacht Am Beispiel von CommView: Im Hauptreiter Regeln Protokolle und Verzeichnisse selektieren die IP Pakete die an unseren Rechner gehen oder von ihm weg gehen Zusätzlich setzen wir unter IP Adresse unsere eigene. Man kann es noch weiter Eingrenzen, das wird hier aber nicht benötigt.

18 Outlook überwacht

19 Sniffing im Netzwerk Grundlegend gibt es zwei Typen: Netzwerk mit Hub Netzwerk mit Switch Router und Server sind ähnlich

20 Netzwerk mit Hub Ein Sniffer kann in diesem Netz alles filtern. Hub s sind keine Gefahr für Sniffer.

21 Netzwerk mit Switch Sind eine sichere Variante gegen Sniffer Gute Switches besitzen eine Funktion Port Mirroring für den Administrator. Es ist aber kein Allheilmittel, denn mit dem so genannten Switch Jamming wird aus dem Switch ein Hub.

22 Abwehrmaßnahmen An sich gibt es keinen Schutz vor Sniffer! Man kann es aber einem Angreifer schwer machen indem man ein gut geswitchtes Netzwerk aufbaut. Firewalls wären eine Möglichkeit, M schränken aber beide Seiten ein.

23 Gab es schon Angriffe mit Sniffer? Im Februar 1994 installierte ein Unbekannter einen Netzwerk-Sniffer auf zahlreiche Hosts und Backbone-Elemente und sammelte über das Internet und Milnet mehr als gültige Benutzernamen und Paßwörter. Jeder Rechner, der Zugang über FTP, Telnet oder entferntes Login bietet, ist in Gefahr. Alle vernetzten Hosts, auf denen ein Unix-Derivatläuft, sollten auf den besonderen Promiscuous-Gerätetreiber untersucht werden, der es ermöglicht, daß ein Sniffer installiert werden kann.

24 Fazit Sniffer sind sehr hilfreiche Tool s um ein Netzwerk zu optimieren. Leider werden diese Tools aber auch missbraucht fürf illegale Zwecke.

25 Quellen [1] Hacker s Guide [2] [3] [4] /766/index.html

26 Fragen?