Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok
Weka Plus

Sniffing: Fühlen Sie sich in Ihrem lokalen Netzwerk sicher?

Die Analogie zwischen Einbruchssicherungen Ihres Büros oder Firmengebäudes in Form von Sicherheitsschlössern, Wachdiensten, Alarmanlagen und so fort sowie den Sicherungsmassnahmen, die in einem lokalen Computernetzwerk eingesetzt oder eben nicht eingesetzt werden, veranschaulicht einen Schwachpunkt heute gängiger IT-Kommunikation. Auch in Zeiten von Firewalls, verschlüsselten Webseiten und gehärteten Serversystemen werden weite Bereiche der Datenübertragung nach wie vor nicht verschlüsselt und sind anfällig gegen Sniffing.

12.01.2022 Von: Lars Behrens
Sniffing

Was verbirgt sich hinter dem Begriff Sniffing?

Zuerst denkt man selbstverständlich an das Erschnüffeln von Informationen, die sich durch einfaches Belauschen des Netzwerks ergeben. Ein solches Schnüffelprogramm klinkt sich in den Datenverkehr eines Netzwerks ein und schneidet alle gesendeten und empfangenen Pakete mit. Technisch geschieht dies in der Regel dadurch, dass ein netzwerkfähiges Gerät im – zumeist lokalen – Netzwerk aufgestellt und in den so genannten promiscuous Mode versetzt wird. Wozu das?

Der Adressat eines Frames in einem Ethernet-Netzwerke wird bekanntlich anhand dessen MAC-Adresse festgelegt. Der Hintergrund dabei ist, dass Ethernet ein verteiltes Medium, ein so genanntes Shared Medium ist. Alle Datenpakete werden an alle Stationen im Netz gesendet. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, wird bereits in der Netzwerkkarte dafür gesorgt, dass nur solche Pakete an den Treiber weitergeleitet werden, die an die MAC-Adresse der NIC gerichtet sind (oder bei denen es sich um Broad- oder Multicasts handelt). Eine Netzwerkkarte kann aber so eingerichtet werden, dass der Capture Driver alle Netzwerkpakete empfängt - das nennt man den Promiscuous Mode. Eine Sniffersoftware kann eine Netzwerkkarte in beide Modi versetzen, in den non-promiscuous mode (nach erfolgtem Sniffing) und Promiscuous Mode. Im Promiscuous Mode sammelt der Sniffer also den gesamten Datenverkehr an die in diesem Modus geschaltete Netzwerkschnittstelle. Es werden nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.

Interface (hier: eth0) unter einem Linuxsystem in den promiscuous Mode versetzen

root@sniff-server.netz.local:/# ifconfig eth0 promisc

 Anschliessend sieht man den Zustand promisc bei der Statusanzeige der Netzwerkkarte:

root@sniff-server.netz.local:/# ifconfig eth0

eth0      Link encap:Ethernet  Hardware Adresse d5:1f:f5:bf:87:a4

          inet Adresse:172.16.12.17  Bcast:172.16.12.255  Maske:255.255.255.0

(…)

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metrik:1

(…)

Falls Sie als vielleicht doch nicht so Linux-affiner Nutzer dadurch die Netzwerkkonfiguration Ihres Admin-Kollegen, dessen Linuxserver Sie zum Testen des promiscuous Mode missbraucht haben, verhauen haben und nun nicht wissen, wie Sie PROMISC wieder aus der Netzwerkkarte bekommen: Das geht schlicht und einfach mit ifconfig eth0 -promisc

Unter einem Windows-System den promiscuous Mode aktivieren

Dies ist leider nicht ganz so einfach, es gibt aber eine spezielle Software wie WinPCap, die dies bewerkstelligt. Installiert man ein Snifferprogramm wie z.B. Wireshark unter Windows, wird der benötigte Treiber gleich mitgeliefert. In heutigen Netzwerken sorgen zumeist Switche für die Bündelung und Verteilung des Datenverkehrs – denken Sie daran, dass ein Ethernet-Netzwerk (heutzutage der Standard für LANs schlechthin) schaltungstechnisch gesehen ein sternförmiges Netz ist! Der Adressat eines Datenpakets wird in einem solchen Ethernet-Netz anhand der (zumindest in der Theorie) weltweit einmaligen und eindeutigen MAC-Adresse festgelegt. Ein Switch merkt sich nun für jeden Port die Zuordnung der MAC-Adresse zum daran angeschlossenen Gerät und stellt eingehende Pakete fortan lediglich an dem jeweiligen Ziel-Port zu. Einem Angreifer ist es nun nicht mehr ohne weiteres möglich, Pakete mitzulesen, die nicht an das Gerät gerichtet sind, welches ebenfalls an dem Switch angeschlossen ist – aber logischerweise erst einmal über eine andere MAC-Adresse verfügt.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren