Weka Plus

Sniffing: Fühlen Sie sich in Ihrem lokalen Netzwerk sicher?

Die Analogie zwischen Einbruchssicherungen Ihres Büros oder Firmengebäudes in Form von Sicherheitsschlössern, Wachdiensten, Alarmanlagen und so fort sowie den Sicherungsmassnahmen, die in einem lokalen Computernetzwerk eingesetzt oder eben nicht eingesetzt werden, veranschaulicht einen Schwachpunkt heute gängiger IT-Kommunikation. Auch in Zeiten von Firewalls, verschlüsselten Webseiten und gehärteten Serversystemen werden weite Bereiche der Datenübertragung nach wie vor nicht verschlüsselt und sind anfällig gegen Sniffing.

05.03.2024 Von: Lars Behrens
Sniffing

Was verbirgt sich hinter dem Begriff Sniffing?

Zuerst denkt man selbstverständlich an das Erschnüffeln von Informationen, die sich durch einfaches Belauschen des Netzwerks ergeben. Ein solches Schnüffelprogramm klinkt sich in den Datenverkehr eines Netzwerks ein und schneidet alle gesendeten und empfangenen Pakete mit. Technisch geschieht dies in der Regel dadurch, dass ein netzwerkfähiges Gerät im – zumeist lokalen – Netzwerk aufgestellt und in den so genannten promiscuous Mode versetzt wird. Wozu das?

Der Adressat eines Frames in einem Ethernet-Netzwerke wird bekanntlich anhand dessen MAC-Adresse festgelegt. Der Hintergrund dabei ist, dass Ethernet ein verteiltes Medium, ein so genanntes Shared Medium ist. Alle Datenpakete werden an alle Stationen im Netz gesendet. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, wird bereits in der Netzwerkkarte dafür gesorgt, dass nur solche Pakete an den Treiber weitergeleitet werden, die an die MAC-Adresse der NIC gerichtet sind (oder bei denen es sich um Broad- oder Multicasts handelt). Eine Netzwerkkarte kann aber so eingerichtet werden, dass der Capture Driver alle Netzwerkpakete empfängt - das nennt man den Promiscuous Mode. Eine Sniffersoftware kann eine Netzwerkkarte in beide Modi versetzen, in den non-promiscuous mode (nach erfolgtem Sniffing) und Promiscuous Mode. Im Promiscuous Mode sammelt der Sniffer also den gesamten Datenverkehr an die in diesem Modus geschaltete Netzwerkschnittstelle. Es werden nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.

Interface (hier: eth0) unter einem Linuxsystem in den promiscuous Mode versetzen

root@sniff-server.netz.local:/# ifconfig eth0 promisc

 Anschliessend sieht man den Zustand promisc bei der Statusanzeige der Netzwerkkarte:

root@sniff-server.netz.local:/# ifconfig eth0

eth0      Link encap:Ethernet  Hardware Adresse d5:1f:f5:bf:87:a4

          inet Adresse:172.16.12.17  Bcast:172.16.12.255  Maske:255.255.255.0

(…)

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metrik:1

(…)

Falls Sie als vielleicht doch nicht so Linux-affiner Nutzer dadurch die Netzwerkkonfiguration Ihres Admin-Kollegen, dessen Linuxserver Sie zum Testen des promiscuous Mode missbraucht haben, verhauen haben und nun nicht wissen, wie Sie PROMISC wieder aus der Netzwerkkarte bekommen: Das geht schlicht und einfach mit ifconfig eth0 -promisc

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren