Sniffing: Fühlen Sie sich in Ihrem lokalen Netzwerk sicher?
Passende Arbeitshilfen
Was verbirgt sich hinter dem Begriff Sniffing?
Zuerst denkt man selbstverständlich an das Erschnüffeln von Informationen, die sich durch einfaches Belauschen des Netzwerks ergeben. Ein solches Schnüffelprogramm klinkt sich in den Datenverkehr eines Netzwerks ein und schneidet alle gesendeten und empfangenen Pakete mit. Technisch geschieht dies in der Regel dadurch, dass ein netzwerkfähiges Gerät im – zumeist lokalen – Netzwerk aufgestellt und in den so genannten promiscuous Mode versetzt wird. Wozu das?
Der Adressat eines Frames in einem Ethernet-Netzwerke wird bekanntlich anhand dessen MAC-Adresse festgelegt. Der Hintergrund dabei ist, dass Ethernet ein verteiltes Medium, ein so genanntes Shared Medium ist. Alle Datenpakete werden an alle Stationen im Netz gesendet. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, wird bereits in der Netzwerkkarte dafür gesorgt, dass nur solche Pakete an den Treiber weitergeleitet werden, die an die MAC-Adresse der NIC gerichtet sind (oder bei denen es sich um Broad- oder Multicasts handelt). Eine Netzwerkkarte kann aber so eingerichtet werden, dass der Capture Driver alle Netzwerkpakete empfängt - das nennt man den Promiscuous Mode. Eine Sniffersoftware kann eine Netzwerkkarte in beide Modi versetzen, in den non-promiscuous mode (nach erfolgtem Sniffing) und Promiscuous Mode. Im Promiscuous Mode sammelt der Sniffer also den gesamten Datenverkehr an die in diesem Modus geschaltete Netzwerkschnittstelle. Es werden nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.
Interface (hier: eth0) unter einem Linuxsystem in den promiscuous Mode versetzen
root@sniff-server.netz.local:/# ifconfig eth0 promisc
Anschliessend sieht man den Zustand promisc bei der Statusanzeige der Netzwerkkarte:
root@sniff-server.netz.local:/# ifconfig eth0
eth0 Link encap:Ethernet Hardware Adresse d5:1f:f5:bf:87:a4
inet Adresse:172.16.12.17 Bcast:172.16.12.255 Maske:255.255.255.0
(…)
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metrik:1
(…)
Falls Sie als vielleicht doch nicht so Linux-affiner Nutzer dadurch die Netzwerkkonfiguration Ihres Admin-Kollegen, dessen Linuxserver Sie zum Testen des promiscuous Mode missbraucht haben, verhauen haben und nun nicht wissen, wie Sie PROMISC wieder aus der Netzwerkkarte bekommen: Das geht schlicht und einfach mit ifconfig eth0 -promisc
Jetzt weiterlesen mit
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare