Proseminararbeit

Packetsniffer

Jens Zentgraf8. Juli 2015

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1244227 Dortmundhttp://www-jj.cs.uni-dortmund.de/secse

Jens Zentgrafjens.zentgraf@tu-dortmund.deMatrikelnummer: 156458Studiengang: Bachelor InformatikPrufungsordnung: BPO2013

Werkzeugunterstutzung fur sichere SoftwareThema: Packetsniffer

Eingereicht: 8. Juli 2015

Betreuer: Jens Burger

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1244227 Dortmund

i

ii

Ehrenwortliche Erklarung

Ich erklare hiermit ehrenwortlich, dass ich die vorliegende Arbeit selbststandig ange-fertigt habe; die aus fremden Quellen direkt oder indirekt ubernommenen Gedankensind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prufungsbehorde vorgelegt und auch nochnicht veroffentlicht.

Dortmund, den 8. Juli 2015

Jens Zentgraf

INHALTSVERZEICHNIS iii

Inhaltsverzeichnis

1 Einleitung 11.1 Motivation und Hintergrund . . . . . . . . . . . . . . . . . . . . . . . 1

2 Grundlagen 22.1 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.2 Address Resolution Protokoll . . . . . . . . . . . . . . . . . . . . . . 2

3 Funktionsweise und Aufbau eines Sniffers 33.1 Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.2 Erstellen eines Sniffers . . . . . . . . . . . . . . . . . . . . . . . . . . 33.3 Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

4 Einsatz 74.1 Netzwerkprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74.2 Fremde Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74.3 Abfangen von FTP Login-Daten mit Wireshark . . . . . . . . . . . . 8

5 Gefahren und Schutz 95.1 Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95.2 Entdeckung von Sniffern . . . . . . . . . . . . . . . . . . . . . . . . . 105.3 Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

6 Fazit 12

Literaturverzeichnis 13

iv INHALTSVERZEICHNIS

KAPITEL 1. EINLEITUNG 1

1 Einleitung

1.1 Motivation und Hintergrund

Diese Ausarbeitung befasst sich mit der Funktionsweise und den Einsatzmoglichkei-ten von Packetsniffern. Der Aufbau und die Funktionsweise wird anhand des freienund quelloffenen Tools Wireshark dargelegt. Zu den Einsatzmoglichkeiten zahlenhauptsachlich das Aufspuren von Netzwerkproblemen und das Entdecken fremderSoftware im eigenen Netzwerk. Darunter fallt beispielsweise die Untersuchung eineslangsamen Netzwerks nach den Quellen des Problems. Da aber Sniffer nicht nurvon Netzwerkadministratoren fur die Verbesserung und Sicherung des Netzwerkseingesetzt werden kann, sondern auch von Personen, die fur sie nicht gedachte Infor-mationen erhalten wollen, ist auch dies ein Thema. Ein Sniffer kann also auch dazugenutzt werden Daten auszuspahen. Dies wird an einem Beispiel durchgespielt unddas Vorgehen erlautert. Um auch auf solche Angriffe vorbereitet zu sein, wird auchauf die Gefahren und den Schutz vor Sniffern eingegangen. Hierbei werden zweiAngriffsszenarien dargelegt, zum einen der Replay-Angriff und zum anderen derMan-In-The-Middle-Angriff (MITM). Ebenfalls wird dargelegt, wie man einen Snif-fer im eigenen Netzwerk entdecken kann und wie man es vor deren Einsatz schutzenkann.Die Arbeit beginnt mit Grundlagen, die spater als bekannt vorausgesetzt werden.Danach wird die Funktionsweise eine Sniffers erklart. Aufbauend darauf wird auf dieErstellung eines Sniffers eingegangen und anschließend Wireshark, als Beispiel fureinen kostenlosen Packetsniffer, vorgestellt. Nachdem bekannt ist, was ein Sniffer istund wie er funktioniert, werden mehrere Einsatzmoglichkeiten vorgestellt. Anschlie-ßend wird darauf eingegangen, welche Gefahren von Sniffern ausgehen und wie mansich davor schutzen kann.

2

2 Grundlagen

Da Packetsniffer Programme sind, die in Netzwerken arbeiten, sollte man einengroben Uberblick uber die Grundlagen der Netzwerkkommunikation haben. Vieleswird bei Verwendung noch einmal kurz erklart. Fur ein besseres Verstandnis sindentsprechende Vorkenntnisse jedoch empfehlenswert.

2.1 Hardware

Beim Aufbau eines Netzwerks werden heute hauptsachlich Switches eingesetzt. Swit-ches unterscheiden sich von Hubs, die fruher haufig in Netzwerken verbaut wurden,dadurch, dass sie nicht wie ein Hub ein empfangenes Paket an alle angeschlossenenGerate weiterleiten. Ein Switch halt eine Liste, in der jede MAC-Adresse eines an-geschlossenen Systems einem Port des Switches zugewiesen wird. Erreicht nun einPaket den Switch, leitet dieser selbiges nicht an alle angeschlossenen Gerate weiter,sondern liest aus dem Header die MAC-Adresse des Ziels aus und uberpruft, ob diesein seiner Liste enthalten ist. Falls dies der Fall ist, leitet der Switch das Paket uberden angegebenen Port weiter. Ist die MAC-Adresse nicht in der Liste, schickt derSwitch einen ARP-Request und tragt die MAC-Adresse, die im erhaltenen ARP-Reply enthalten ist, in seine Tabelle ein. Dadurch ist der Switch in der Lage dieerhaltenen Pakete gezielt weiterzuleiten [ORB06].

2.2 Address Resolution Protokoll

Das Address Resolution Protokoll (ARP) wird dazu genutzt, die physikalische Adres-se eine Gerats herauszufinden, wenn nur die IP-Adresse bekannt ist. Rechner A (imFolgenden als A bezeichnet) mochte an Rechner B (im Folgenden als B bezeichnet)Daten senden. Wenn A die IP-Adresse von B kennt, wird uberpruft, ob sich eine zuder IP-Adresse passende MAC-Adresse im Address Resolution Cache befindet. DerAddress Resolution Cache ist eine Tabelle, in der zu jeder bekannten IP-Adressedie passende MAC-Adresse zugeordnet wird. Ist ein Eintrag enthalten, werden andiese MAC-Adresse die Daten gesendet. Falls kein Eintrag in der Tabelle vorhandenist, erstellt A ein Paket, in dem die eigene IP- und MAC-Adresse, ebenso wie dieIP-Adresse von B, enthalten sind. Dieses Paket wird an die Broadcast-Adresse desNetzwerks gesendet. Wenn B nun die ARP-Request erhalt, antwortet es mit einemARP-Reply, in dem die eigene MAC- und IP-Adresse, sowie die IP-Adresse von Aenthalten ist und schickt dieses an A. A tragt nun die erhaltenen Informationen inden Address Reolution Cache ein und beginnt mit der Ubertragung der Daten.

KAPITEL 3. FUNKTIONSWEISE UND AUFBAU EINES SNIFFERS 3

3 Funktionsweise und Aufbau eines Sniffers

3.1 Allgemein

Man kann einen Packetsniffer am ehesten anhand eines Abhorgerats fur Telefoneerklaren [FG11]. Der Unterschied ist, dass bei Packetsniffern nicht die elektrischenSignale eines Telefons mitgeschnitten werden, sondern die einzelnen Datenpaketein einem Ethernet mitgelesen und aufbereitet werden. Dabei ist es uninteressant,ob die Rechner lokal oder uber das Internet kommunizieren, solange sie es uberein Netzwerk tun. Beim Abhoren der Kommunikation eines Rechners schaltet sichein anderer mit in das Netzwerk und wartet darauf, dass er die Pakete des Op-fers empfangt. Damit diese nicht von der Netzwerkkarte abgelehnt werden, hat dieKarte zwei Einstellungen. Man kann zwischen dem promiscuous mode und demnon-promiscuous mode unterscheiden. Der non-promiscuous mode ist die Standar-deinstellung der Netzwerkkarte. In diesem Modus werden alle Pakete, die nicht dieMAC-Adresse des eigenen Rechners als Ziel haben, herausgefiltert und verworfen.Dies dient im Normalfall dazu den Traffic der Netzwerkkarte zu reduzieren. Wenndie Karte sich im promiscuous mode befindet, nimmt sie jedes Paket an und leitetsie an die entsprechenden Sockets weiter. Dieser Modus wird von Packetsniffern ge-nutzt. Nachdem nun alle Pakete den Sniffer erreichen, werden von diesem die Datenaufbereitet.

3.2 Erstellen eines Sniffers

Das Erstellen eines Sniffers unter Linux besteht aus zwei Schritten. Man beginntdamit, dass man einen Socket erzeugt und bei diesem im Interface das Flag promis-cuous mode setzt. Als Socket bezeichnet man einen Kommunikationsendpunkt, uberden Prozesse untereinander kommunizieren konnen oder der zur Kommunikation miteinem Netzwerk dient. Man kann mehrere Flags setzen, was die Funktionsweise desSockets beeinflusst. Um nun die empfangenen Pakete lesbar zu machen, muss derSniffer diese fur uns noch aufbereiten. Dafur benotigt man entsprechende Kennt-nisse uber die genutzten Protokolle. Um dies unter Linux umzusetzen, kann manzum Beispiel fur IP die Headerdateien <linux/ip.h> und fur TCP die Headerdatei<linux/tcp.h> nutzen. Da diese die Struktur von IP und TCP enthalten, kann manso auf die enthaltenen Informationen zugreifen.Als Beispiel bietet sich das File Transfer Protocol (FTP) an. Hierbei bestehen dieersten 14 Byte aus dem Ethernet-Header. An diesen grenzt der IP-Header an, der20 Byte groß ist, und daran der TCP-Header, welcher ebenfalls eine Große von20 Byte hat(siehe Abbildung 3.1). Entfernt man diese Header, bleibt nur noch das

4 3.3. WIRESHARK

Abbildung 3.1: Blau: Ethernet-Header Gelb: IP-Header Grun: TCP-Header [Pos81a,Pos81b, Plu82]

Datenpaket ubrig. In diesem sind die Informationen enthalten, welche zum Beispieldie Login Daten fur den Server, oder die Daten, die auf den Server oder von ihmherunter geladen werden, darstellen konnen [ARC02].Aber auch aus den Daten der einzelnen Header kann man viele Informationen ge-winnen. So enthalt der IP-Header nutzliche Informationen uber das Paket, wie dieUrsprungs-IP-Adresse (Source IP Address) , die Ziel-IP-Adresse(Destination IP Ad-dress) oder die Time To Live, welche angibt, wie haufig das Paket noch weitergeschickt werden kann.

3.3 Wireshark

Es gibt eine große Auswahl an sowohl kommerziellen als auch kostenlosen Packet-sniffern. In dieser Ausarbeitung wird aus der Auswahl das Programm Wiresharkverwendet, welches zu den kostenlosen, freien und quelloffenen gehort. Wiresharkwurde unter der GNU General Public License veroffentlicht.Das Programm Wireshark wurde ursprunglich unter dem Namen Ethereal von Ge-rald Combs in der Firma Network Integration Service entwickelt, die die Rechtean dem Namen bis heute innehat. Combs verfugt allerdings uber den Großteil derRechte an dem Quellcode von Ethereal, der Rest wurde unter der GNU GPL ver-offentlicht. So war es ihm im Jahre 2006 moglich, als er die Firma verließ, denQuellcode als Basis fur das neue Projekt zu nutzen, welches den Namen Wiresharkerhielt. Neben Wireshark, welches sich durch ein GUI auszeichnet, in dem man dieDaten analysieren kann, gibt es auch noch TShark, welches kein GUI besitzt undsomit besser fur Server ohne Oberflache geeignet ist [Fou15b]. Auch wenn TSharkrein konsolenbasiert ist, bietet es doch die gleichen Moglichkeiten wie Wireshark.Wireshark basiert unter UNIX auf der Programmbibliothek pcap bzw. unter Win-dows auf WinPcap, welches von den Entwicklern von tcpdump, das ein kommandozei-lenbasierter Sniffer ist, entwickelt wurde. Aufgrund dieser Tatsache kann Wiresharkauf zwei unterschiedliche Filtertypen zuruckgreifen. So konnen uber pcap direkt al-le eingehenden Pakete auf bestimmte Eigenschaften uberpruft werden. Falls diesenicht zutreffen, werden die Pakete direkt von der Netzwerkkarte abgelehnt. Dies ist

KAPITEL 3. FUNKTIONSWEISE UND AUFBAU EINES SNIFFERS 5

nutzlich, um schnell Pakete von einer uberwachten Schnittstelle zuruckzuweisen. Sokann man beispielsweise mit host 172.18.5.4 dafur sorgen, dass nur noch Pakete,die von oder an die IP-Adresse gesendet werden, mitgeschnitten werden. Da dieserFilter haufig nicht ausreichend genau ist, gibt es bei Wireshark noch einen Filter furdie Anzeige. Hier konnen, nachdem die Pakete in Wireshark geladen wurden, nochspezifischere Eigenschaften deklariert werden, wodurch nur die angezeigten Paketegefiltert werden. Uber diesen Filter konnen die einzelnen Pakete auch in der Anzeigeeingefarbt werden. So erkennt man an der Farbe direkt, mit welchem Protokoll einPaket verschickt wurde und ob es bei der Ubertragung Fehler gab [ORB06, 222].

Abbildung 3.2: Wireshark: Anzeige ohne Filter

Wie in Abbildung 3.2 zu sehen ist, wird jedes Paket als einzelne Zeile dargestellt. Sokann bei jedem Paket direkt erkannt werden, von welcher IP-Adresse es verschicktwurde und was die Ziel-IP-Adresse ist. Es wird dargestellt, welches Protokoll zurUbertragung genutzt wird. Wenn ein Paket ausgewahlt wird, kann man in der mitt-leren Anzeige die genauen Informationen der Header des Pakets einsehen und imunteren Teil den Inhalt des Datenpakets.

Das Festlegen der Filter erfolgt in Wireshark durch Angabe eines Ausdrucks undist sehr intuitiv. Sie bestehen aus einer atomaren Bedingung, wie ip.addr und wer-den mit einem Vergleichsoperator auf einen gegebenen Wert uberpruft. Nun kann

6 3.3. WIRESHARK

man diesen Ausdruck noch mit logischen Operationen, wie and, or oder not erwei-tern. Dadurch ist es moglich, sehr spezifische Filter zu erstellen. Mochte man zumBeispiel nur Pakete erhalten, die per FTP verschickt wurden, reicht eine einfacheEingabe von ftp, um die Pakete nach FTP zu filtern. Ein anderes Beispiel ist dasFiltern nach Ports, was fur den Port 8080 mit dem Ausdruck tcp.port == 8080

moglich ist. Diese Ausdrucke konnen auch durch and- oder or-Verknupfungen zukomplexeren Ausdrucken kombiniert werden. Ebenso bietet Wireshark einen Dialogzum Erstellen dieser Ausdrucke, wodurch das Filtern noch einmal erleichtert wird.Zusatzlich besteht die Moglichkeit der Nutzung von Plugins. Dadurch ist es unterAnderem moglich, weitere Protokolle zu analysieren oder die bereits vorhandenenMoglichkeiten zu statistischen Auswertungen zu erweitern. Es sind auch mehrerezusatzliche Tools, die beispielsweise dazu genutzt werden konnen, den Traffic vonUSB-Schnittstellen oder von Datenbanken zu uberwachen, vorhanden [Fou15a].

KAPITEL 4. EINSATZ 7

4 Einsatz

Packetsniffer haben ein weites Spektrum von Einsatzmoglichkeiten. Sie werden zumBeispiel von Administratoren benutzt, um Fehler in Netzwerken zu entdecken oderdie Kommunikation von Programmen zu uberwachen. Aber Sie konnen auch dazuverwendet werden, fremde Daten zu erspahen oder sich Zugang zu fremden Netz-werken zu verschaffen.

4.1 Netzwerkprobleme

Bei Netzwerkproblemen, wie zum Beispiel einer langsamen Verbindung, wird oftein Sniffer zu Hilfe genommen. Es kann uberpruft werden, ob es eine gleichmaßigeAuslastung des Netzwerks durch alle beteiligten Gerate gibt oder ob starke Belas-tungen des Netzwerks durch einzelne Nutzer auftreten. Wenn sich beispielsweiseviele Mitarbeiter einer Firma bei dem zustandigen Netzwerkadministrator uber einelangsame Verbindung beschweren, schaut dieser als erstes mit einem Packetsniffer,ob verhaltnismaßig viele Pakete von einem Kommunikationsendknoten empfangenoder gesendet werden und so das Netzwerk ausgelastet wird.Dies kann folgendermaßen ablaufen: Der Administrator stellt, durch Nutzung einesSniffers, fest, dass es sehr viele Pakete des Protokolls RTMP (Real Time MessagingProtocol) gibt. RTMP wird dazu genutzt Audio- und Videodaten, die je nach Quali-tat sehr groß sein konnen, zu ubertragen. Nun wird die Analyse auf dieses Protokolleingegrenzt. Nachdem nun das Protokoll identifiziert ist, kann man die Pakete nachden Ursprungsadressen und Zieladressen untersuchen und schauen, ob eine Haufungbei einem Kommunikationsendknoten auftritt. Werden alle Pakete an einen Rechnerubertragen, kann man davon ausgehen, dass dieser das Problem bei der Auslastungdes Netzwerks darstellt oder zumindest dazu beitragt. Falls sich bei der Analyse desNetzwerks kein Protokoll in der Haufigkeit hervortut, kann man auch den allgemei-nen Netzwerkverkehr darauf uberprufen, ob es einzelne Nutzer gibt, die sehr vielePakete empfangen oder senden. Bei einer ausgeglichenen Verteilung der Kapazitatenmuss davon ausgegangen werden, dass das Netzwerk selbst zu langsam ist und derAdministrator die Hardware erneuern muss.

4.2 Fremde Tools

Auch zum Aufspuren fremder Tools, die sich auf einem Rechner innerhalb des Netz-werks befinden, eignen sich Packetsniffer. Ist ein Rechner von Schadsoftware befallen,sendet dieser haufig Informationen an einen Server im Internet und nutzt dabei furden Administrator unbekannte IP-Adressen und ungewohnliche Ports. Wenn derDatenverkehr durch einen Sniffer protokolliert wird, wird dies fruher oder spater

8 4.3. ABFANGEN VON FTP LOGIN-DATEN MIT WIRESHARK

entdeckt. Ebenso besteht die Moglichkeit, dass durch das Ubertragen großer Da-tenmengen, wie zum Beispiel bei einer Ubertragung des Desktops, oder auch schonbeim regelmaßigen Senden einzelner Screenshots, eine Beeintrachtigungen der Ge-schwindigkeit des Netzwerks auftreten kann.Aber auch Packetsniffer, die nicht vom Administrator im Netz eingesetzt werden,konnen so entdeckt werden. Diese werden nicht mehr dazu verwendet, das Netzwerkauf Fehler zu analysieren und diese zu beheben, sondern dienen dazu, gezielt dieDaten anderer Nutzer zu erspahen und anders weiter zu nutzen. Diese Sniffer lassensich zum Beispiel dadurch entdecken, dass sie Pakete annehmen, die nicht fur siebestimmt sind. Dies wird dadurch hervorrufen, dass man ein Paket erzeugt, welcheseine ungultige MAC-Adresse enthalt. Man kann ein solches Paket erstellen, indemman die MAC-Adresse des eigenen Gerats kurzzeitig andert und dann ein Paketan die alte Adresse schickt. Wird dieses Paket nun von einem anderen Rechnerakzeptiert, kann man davon ausgehen, dass auf diesem ein Packetsniffer lauft.

4.3 Abfangen von FTP Login-Daten mit Wireshark

Trotz der immer haufiger genutzten Verschlusselung der Kommunikation, gibt esauch heute noch viele Protokolle, welche die Login-Daten unverschlusselt ubertragen.Dazu gehort auch FTP. Als aktuelle sicherere Protokolle existieren bereits SSH FileTransfer Protocol (SFTP) oder File Transfer Protocol SSL (FTPS), welche auch dieAuthentifizierung entweder per Secure Shell (SSH) oder per Secure Sockets Layer(SSL) verschlusselt durchfuhren. Nur werden diese Alternativen noch immer nichtuberall eingesetzt.In diesem Angriffsszenario nutzen wir aus, dass FTP die Authentifizierung unver-schlusselt durchfuhrt, also sowohl den Benutzernamen, als auch das Passwort imKlartext ubertragt. Wenn wir nun Wireshark als einen Sniffer in einem Netzwerklaufen lassen und den Filter durch Nutzung des Ausdrucks ftp nur noch Pakete, dieper FTP ubertragen werden, anzeigen lassen, ergibt sich, sobald ein anderer Nutzereinen FTP-Server nutzen mochte, die Moglichkeit, die Nutzerdaten abzufangen.

Abbildung 4.1: Login-Daten FTP

Wie in Abbildung 4.1 sichtbar, ist der Filter auf ftp eingestellt. Es werden sowohl derBenutzername u61176865-jens als auch das Passwort, hier abcd1234, im Klartextubertragen und in Wireshark ohne weiteren Aufwand direkt lesbar.

KAPITEL 5. GEFAHREN UND SCHUTZ 9

5 Gefahren und Schutz

Aber die Technik der Packetsniffer kann, zusatzlich zu den regularen Einsatzmoglich-keiten, auch dazu genutzt werden, in Netzwerke einzudringen oder um vertraulicheDaten anderer Personen zu auszuspahen.

5.1 Gefahren

Gefahren, die durch Sniffer entstehen, bestehen meistens darin, dass ein Angrei-fer versucht, personliche Daten, zum Beispiel Login Daten, abzufangen und selbstzu nutzen. Eine weitere Gefahr besteht darin, dass der Angreifer an Passworter furWLAN-Netze oder Ahnliches gelangt und so noch leichter Daten von mehreren Nut-zern erhalten kann. Das großte Risiko liegt dabei in der Passivitat der Sniffer. Dasie keinen Einfluss auf das Netzwerk haben, sondern einfach jedes Paket, das sieerhalten, annehmen, bemerkt man sie meist nicht. Des Weiteren ist es schwierig, gutkonfigurierte Sniffer im Netzwerk zu finden.

Replay-Angriff Durch den Einsatz von Packetsniffern existiert die Moglichkeiteines Replay-Angriffs. Bei dieser Art von Angriffen geht es darum, die Authentifika-tion zu umgehen. Man nutzt hierbei Nachrichten, die man beispielsweise mit einemPacketsniffer abgefangen hat, um sich bei einem Server als eine andere Person zuidentifizieren. Dies geschieht indem man uber eine langere Zeit die Nachrichten zwi-schen dem Server und dem Opfer mitschneidet und danach die gleichen Nachrichtenan den Server schickt, wie das Opfer. Jetzt ist es moglich, dass der Server darauf diegleiche Reaktion zeigt und beispielsweise die Passwortabfrage bestatigt [Syv94].

Man-In-The-Middle Ein anderes Vorgehen ist das ARP Spoofing, bei dem derAngreifer als Man-In-The-Middle agiert. ARP dient dazu, die passende MAC-Adressezu einer IP-Adresse zu finden. Dies geschieht, indem der Rechner, der eine MAC-Adresse zu einer IP-Adresse sucht, ein ARP Request an die Broadcastadresse desNetzwerks schickt. Wenn nun der Rechner mit der gesuchten IP-Adresse den Requesterhalt und feststellt, dass er der gesuchte Rechner ist, antwortet er mit einem ARPReply [Plu82]. Beim ARP Spoofing wird ausgenutzt, dass das ARP zustandslos ist,was bedeutet, dass man ein ARP Reply auch senden kann, wenn man vorher kei-nen ARP Request empfangen hat. Wenn man nun die Kommunikation eines Geratszu einem anderen direkt mitschneiden mochte, macht man das am besten, indemman der Netzwerkkarte ein ARP Reply schickt, in dem man angibt, dass die ei-gene MAC-Adresse zu der IP-Adresse des anderen Gerats gehort. Nun schickt dasGerat alle Daten an den Angreifer. Dieser ist in der Lage diese zu speichern und

10 5.2. ENTDECKUNG VON SNIFFERN

sie dann an das eigentliche Ziel, bei dem er sich auf die gleiche Art als eigentlicherKommunikationspartner ausgibt, weiterzuleiten. Eine Alternative ist es, die eigenenMAC-Adresse auf die Broadcast Adresse zu stellen. Dadurch kann man alle ARPRequests abfangen und darauf reagieren [QZIS10].

5.2 Entdeckung von Sniffern

Durch verschiedene Moglichkeiten kann man Packetsniffer in einem Netzwerk ent-decken. Zum einen stehen professionelle Tools wie z.B.: Sniffdet oder ntop zur Ver-fugung. Sniffdet biete beispielsweise eine ganze Reihe von Test an, wie den LatencyTest, bei dem das Netzwerk mit Paketen geflutet wird, die nur von Netzwerkkartenangenommen werden, die sich im promiscuous mode befinden. Nun wird paralleldie Antwortzeit der Netzwerkkarte, beispielsweise mit ICMP Echo Request/Reply,uberpruft. Wenn nun die Antwortzeit, wahrend das Netzwerk geflutet wird, deut-lich langer ist, als davor, kann man davon ausgehen, dass sie die Pakete annimmt[dSRJF15a]. Zum anderen ist es auch moglich Sniffer ohne spezielle Software aufzu-spuren. So kann man die einzelnen Tests leicht selbst implementieren.Vorgehen beim Latency Test [dSRJF15b]:

• Die Antwortzeit des zu prufenden Gerats uberprufen

• Zwei Threads starten:– Thread 1: Uberflutet das Netzwerk mit Paketen, die nur von Netzwerk-

karten im promiscuous mode angenommen werden

– Thread 2: Misst die Antwortzeit des zu prufenden Gerats

• Die Statistiken auswerten– Große Unterschiede: Die Wahrscheinlichkeit ist hoch, dass sich die Netz-

werkkarte im promiscuous mode befindet.

– Geringer Unterschied: Falls sich die Netzwerkkarte im promiscuous modebefindet, ist entweder der Rechner nicht leistungsfahig genug oder dasNetzwerk wird mit zu wenigen Paketen uberflutet.

5.3 Schutz

Ein erster Schritt zum Schutz gegen Packetsniffer ist ein Netzwerk, welches mitSwitches aufgebaut ist. Dies bietet zwar keinen absoluten Schutz, erschwert demAngreifer aber bereits die Arbeit, da er diesen erst umgehen muss. Dafur bieten sichverschiedene Losungswege an. So ist es einem Benutzer ohne großen Aufwand mog-lich, seine MAC-Adresse zu andern. Dadurch lernt der Switch, dass er an diesen Portalle Pakete, die zu der MAC-Adresse gehoren, senden muss. Eine weitere Moglich-keit, einen Switch zu umgehen, ist das emphFlooden. Hierbei wird der Switch miteiner großen Menge an MAC-Adressen bombardiert. So wird der eigentliche Vorteileines Switches, welcher in der Zuordnung jeder MAC-Adresse zu einem Port in einerListe besteht, als Schwachstelle ausgenutzt. Durch die vielen neuen MAC-Adressen

KAPITEL 5. GEFAHREN UND SCHUTZ 11

ist irgendwann die Liste des Switches voll und dieser schaltet in den Repeatmodus[QZIS10], in welchem er wie ein Hub alle empfangenen Pakete an alle angeschlos-senen Gerate weiterleitet, um seine Funktionsfahigkeit aufrecht zu erhalten. DasFlooden wird heute nur noch verhaltnismaßig selten genutzt, da es sehr auffalligund leicht (beispielsweise mit einem Sniffer) zu entdecken ist [Sto15].Ein weiterer Schritt zum Schutz vor Packetsniffern ist der Einsatz von Verschlus-selung. Durch das steigende Interesse der Benutzer an Sicherheit wachst auch dieBereitschaft vieler Anbieter, diese zur Verfugung zu stellen. So bieten Banken undauch viele Online-Versandhandler schon seit langem nur noch die Moglichkeit, sichmit einer per SSL verschlusselten Verbindung anzumelden. Aber auch Mail-Anbieterund viele andere Plattformen sind auf gesicherte Anmeldungen via HTTPS umge-stiegen.Ein bevorzugter Angriffspunkt fur Packetsniffer sind WLANs, da hier viele Leutemeist uber eine offene Verbindung kommunizieren und der Angreifer so viele Datenauf einmal sammeln kann. Als Schutz dient beispielsweise der Einsatz des SSH Netz-werkprotokolls, welches man dazu nutzen kann, eine verschlusselte Verbindung zueinem entfernten Rechner aufzubauen und dann uber diesen seine Kommunikationlaufen zu lassen. Dadurch kann der Angreifer nicht, die Daten im offenen WLANinterpretieren. Aber auch ein verschlusseltes WLAN hilft wenig, wenn nicht der ak-tuelle Stand der Verschlusselungstechnik in diesem Bereich genutzt wird. So bietetein mit WEP verschlusseltes WLAN nur eine trugerische Sicherheit: Wenn der Snif-fer lange genug Daten gesammelt hat, kann er damit beginnen, den Schlussel desNetzwerks zu erraten und so in das Netzwerk eindringen [Sto15].

12

6 Fazit

Packetsniffer und damit auch das Tool Wireshark bieten viele Gelegenheiten zumEinsatz. Deshalb sollte jeder, der fur die Administration von Netzwerken zustandigist, oder anderweitig mit Netzwerken arbeiten muss, ein grundlegendes Verstandnisder Funktionsweise und ihren Einsatzmoglichkeiten haben. So sind sie zum Beispielein starkes Werkzeug zur Analyse von Netzwerken, da sie Probleme aufspuren kon-nen, welche viele andere Nutzer beeintrachtigen konnen. Sie stellen allerdings auchgleichzeitig eine große Gefahr fur jedes Netzwerk und seine Benutzer dar. Angreifersind mit ihnen in der Lage, in Netzwerke einzudringen, die nur schwach verschlusseltsind, und konnen dort die Daten der Nutzer abfangen. So kann ein Angreifer durcheinen Replay-Angriff schnell Zugriff auf einen Account bekommen, oder durch einenMITM-Angriff dafur sorgen, dass jegliche Kommunikation des Opfers uber den ei-genen Rechner geht. Es gibt keinen direkten Schutz gegen Packetsniffer, sondernes hilft nur, aufmerksam zu sein und selbst genau zu uberprufen, was im eigenenNetz geschieht. Die Arbeit eines Angreifers kann allerdings schon durch einfacheTechniken, wie einem Netzwerk aus Switchs, und der Nutzung von Verschlusselun-gen deutlich erschwert werden. In fremden Netzen kann man sich meistens nur aufeine zusatzliche verschlusselte Verbindungen, zum Schutz vor Angreifern, verlassen.Das vorgestellte Programm Wireshark ist sehr leicht zu bedienen und bietet sichdaher schon fur Neulinge, welche ihr Wissen in diesem Gebiet vertiefen wollen, alsmachtiges Werkzeug an. Durch die sehr vielen angebotenen Funktionen und die Er-weiterbarkeit ist es auch fur den professionellen Einsatz geeignet.

LITERATURVERZEICHNIS 13

Literaturverzeichnis

[ARC02] Sabeel Ansari, SG Rajeev, and HS Chandrashekar. Packet sniffing: abrief introduction. Potentials, IEEE, 21(5):17–19, 2002.

[dSRJF15a] Ademar de Souza Reis Jr. and Milton Soares Filho. Sniffdet, July 2015.http://sniffdet.sourceforge.net/index.html.

[dSRJF15b] Ademar de Souza Reis Jr. and Milton Soares Filho. Sniff-det: How it works, July 2015. http://git.ademar.org/

gitweb.cgi?p=sniffdet.git;a=blob;f=doc/howitworks.txt;

h=8d7cd157139e8ede31b97224c88297a04f9f7447;hb=HEAD.

[FG11] Nick Flor and Kenneth Guillory. Technology Corner: Internet PacketSniffers. Journal of Digital Forensics, Security and Law, 6(1):77–90,2011.

[Fou15a] Wireshark Foundation. Wireshark Tools, June 2015. https://wiki.

wireshark.org/Tools.

[Fou15b] Wireshark Foundation. Wireshark Users Guide, June 2015. https:

//www.wireshark.org/docs/wsug_html/index.html.

[ORB06] Angela Orebaugh, Gilbert Ramirez, and Jay Beale. Wireshark & Ethe-real network protocol analyzer toolkit. Syngress, 2006.

[Plu82] David Plummer. Ethernet Address Resolution Protocol: Or convertingnetwork protocol addresses to 48. bit Ethernet address for transmissionon Ethernet hardware. 1982.

[Pos81a] Jon Postel. Internet protocol. page 11, 1981.

[Pos81b] Jon Postel. Transmission control protocol. page 15, 1981.

[QZIS10] Mohammed Abdul Qadeer, Mohammad Zahid, Arshad Iqbal, and Mis-bahurRahman Siddiqui. Network traffic analysis and intrusion detec-tion using packet sniffer. In Communication Software and Networks,2010. ICCSN’10. Second International Conference on, pages 313–317.IEEE, 2010.

[Sto15] Christian Stobitzer. Sniffer: Kleine nutzliche Viecher, June 2015. http://www.easy-network.de/sniffer.html.

14 LITERATURVERZEICHNIS

[Syv94] Paul Syverson. A taxonomy of replay attacks [cryptographic proto-cols]. In Computer Security Foundations Workshop VII, 1994. CSFW7. Proceedings, pages 187–191. IEEE, 1994.