ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch

Größe: px

Ab Seite anzeigen:

Download "ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch"

Franziska Fiedler
vor 8 Jahren
Abrufe

1 ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch Mit ARP-Spoofing (ARP Request Poisoning) werden gefälschte ARP-Pakete zu einem oder mehreren Hosts im lokalen Netzwerk gesendet, um die ARP-Tabellen in diesem Netzwerk so zu verändern, dass anschließend der Datenverkehr mittels einem Man-In- The-Middle-Angriff abgehört oder manipuliert werden kann. PC Hack erkennen 2 - Inhaltsverzeichnis 1. ARP-Cash abrufen - Seite 2 2. ARP-Spoofing & Man in the Middle Angriff starten - Seite 2 3. ARP-Spoofing erkennen - Seite 4 4. Logindaten sniffen - Seite 4 5. MitM Angriff beenden - Seite 5 6. ARP-Poisoning erkennen mit ArpWatch - Seite 6 7. ArpWatch installieren - Seite 7 8. ArpWatch ausführen - Seite 7 9. Logfile ArpWatch öffnen - Seite ARP-Poisoning & Man in the Middle Angriff erkennen - Seite weitere ARP-Befehle - Seite Tips & Tricks - Seite 11 wifi4free Seite 1

manipuliert werden kann. PC Hack erkennen 2 - Inhaltsverzeichnis 1. ARP-Cash abrufen - Seite 2 2. ARP-Spoofing & Man in the Middle Angriff starten - Seite 2 3. ARP-Spoofing erkennen - Seite 4 4.

2 1. ARP-Cash abrufen Im folgenden Bild sieht man den ARP-Cash des Windows-PC ohne Anzeichen einer infizierten Spoofing- oder Man-in-the-Middle Attacke. Der AP/Router mit der IP hat seine orginale MAC-Adresse und es befindet sich kein weiterer Host im eigenen Subnetz 1.2 Der Angreifer-PC (Backtrack) mit dem gleich ein ARP-Spoofing sowie eine Man-in-the- Middle Attacke auf den Windows PC & Router/AP ausgeführt wird IP: / MAC ec:6d:01:2d:71:71 2. ARP-Spoofing & Man in the Middle Angriff starten 2.1 Um nun den Datenverkehr zwischen Host A (Windows-PC/IP ) und Host B (AP/IP ) abzuhören, sendet der Angreifer-PC an Host A/Windows-PC eine manipulierte ARP-Nachricht, in der die eigene MAC-Adresse anstelle der von Host B/AP enthalten ist, so dass Host A/Windows-PC zukünftig die Pakete, die eigentlich für Host B/AP bestimmt sind, an den Angreifer-PC sendet. Dasselbe geschieht ebenso mit dem Host B/AP, so dass dieser die Datenpakete statt direkt an Host A, also den Windows-PC zu senden, nun zum Angreifer-PC sendet, der diese dann an den AP/Router weiterleitet.

ARP-Spoofing & Man in the Middle Angriff starten 2.1

3 2.2 ARP-Spoofing & Man in the Middle Angriff mit ettercap starten Der Angreifer-PC befindet sich nun als "Man-in-the-Middle" zwischen beiden Hosts (dem Windows-PC und dem AP/Router) und kann die Datenströme, die zwischen den beiden Hosts gesendet werden, nun einfach mitlesen. 3. ARP-Spoofing erkennen Wie man weiter oben an Bild 2 sehen kann, ist die MAC-Adresse natürlich die des Angreifer-PC/Backtrack: ec:6d:01:2d:71:71 mit der IP Logindaten sniffen Da nun alle Datenströme sozusagen mitgeloggt werden, ist es für den Angreifer somit möglich, sämtliche Logindaten & Passwörter der besuchten Webseiten, accounts, usw., selbst auch die über https/ssl verschlüsselten und eigentlich ja sichere gesendete Daten, im Klartext einzusehen (sslstrip ist aktiviert). 4.1 Sowie wir uns nun mit dem Windows-PC auf einer Webseite in einen Account, wie hier im Beispiel in Facebook einloggen...

ARP-Spoofing erkennen Wie man weiter oben an Bild 2 sehen kann, ist die MAC-Adresse natürlich die des Angreifer-PC/Backtrack: ec:6d:01:2d:71:71 mit der IP 192.168.1.40 4.

4 wifi4free Seite werden die Logindaten wie Username & Passwort im Klartext übermittelt und angezeigt! 5. MitM Angriff beenden 5.2 Nachdem der Windows-PC erneut gestartet bzw. rebootet wird, ist auch der ARP-Cash wieder aktualisiert und der Host mit der IP somit auch nicht mehr im eigenen Subnetz vorhanden.

5 6. ARP-Poisoning erkennen mit ArpWatch Im nächsten Beispiel nehmen wir mit Ettercap eine Man-in-the-Middle Attacke auf das gesammte lokale Netzwerk vor, d.h. also auf den AP sowie alle darüber angemeldeten Hosts 6.1 Man-in-the-Middle Attacke & ARP-Poisoning mit ettercap starten 6.2 Die angemeldeten Hosts im lokalen Netzwerk nach IP-Adresse mit ihren orginalen MAC- Adressen, die nun für den MitM-Angriff & das ARP-Poisoning mit ettercap hinzugefügt werden 7. ArpWatch installieren wifi4free Seite ArpWatch wurde fertig installiert 8. ArpWatch ausführen 8.1 ArpWatch starten wifi4free Seite 7

2 Die angemeldeten Hosts im lokalen Netzwerk nach IP-Adresse mit ihren orginalen MAC- Adressen, die nun für den MitM-Angriff & das ARP-Poisoning mit

6 9. ArpWatch Logfile öffnen Im Logfile von Arpwatch sieht man vor dem Angriff alle derzeit angemeldeten Hosts mit ihren IP's sowie den orginalen MAC-Adressen wifi4free Seite ARP-Poisoning & Man in the Middle Angriff erkennen 10.1 Wenn wir nun nochmals den Logfile des ArpWatch-Tools, während der MitM-Attacke mit ettercap aufrufen, sieht man plötzlich, das alle im Netzwerk befindlichen Hosts, eine andere MAC-Adresse bekommen haben und bei genauerem hinsehen erkennt man, das alle Hosts sogar ein und diesselbe MAC-Adresse erhalten haben......nämlich die MAC des Angreifer-PC's ( MAC D0:33:20:A5:87:6D), wobei die "alten & orginalen" MAC-Adressen der Hosts weiterhin angezeigt werden, und man dadurch die Veränderungen der MAC-Adressen, sowie das ARP-Poisoning eindeutig feststellen kann! 12. Tips & Tricks Impressum PC Hack erkennen 2 - mit ArpWatch ARP-Spoofing & Man in the Middle Angriff erkennen 2012 wifi4free Alle Rechte vorbehalten. Autor: jahfire info@wifi4free.info Dieses E-Book, einschließlich seiner Teile, ist urheberrechtlich geschützt und darf ohne Zustimmung des Autors nicht vervielfältigt, wieder verkauft oder weitergegeben werden wifi4free Seite 11

1 Wenn wir nun nochmals den Logfile des ArpWatch-Tools, während der MitM-Attacke mit ettercap aufrufen, sieht man plötzlich, das alle im Netzwerk befindlichen Hosts, eine andere MAC-Adresse bekommen

Ähnliche Dokumente

ARP-Spoofing. ARP-Spoofing Handout IAV 06-08

ARP-Spoofing. ARP-Spoofing Handout IAV 06-08 ARP-Spoofing Seit der Einführung von Switches ist das Auslesen des Datenverkehrs in lokalen Netzwerken schwieriger geworden. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel- MAC-Adresse