Sniffing

Ursprünglich ist Sniffer ein aus dem Jahre 1986 stammendes Programm von Network General und dazu gedacht, Probleme im Netzwerk zu finden und zu beheben. Ein Sniffer fängt Datenpakete im Netzwerk ab und speichert diese zur Analyse. Administratoren können den Datenfluss und das Laufzeitverhalten analysieren und danach das Netzwerk optimieren.

Natürlich werden auch alle Nutzdaten mitgespeichert, was auch für andere Personen im Netzwerk interessant ist. Am meisten werden Protokolle gesnifft, die Daten und Passwörter im Klartext übertragen (FTP, HTTP, SNMP, NNTP, POP, Telnet).

Bei Hubs ist das Sniffen kein Problem, da alle Daten aller angeschlossener Geräte dem sniffenden Gerät frei zugänglich sind. Bei einem Switch wäre die einfachste Lösung, dass der Sniffer an dem Uplink-Port des Switches angeschlossen wird. Dort ist der gesamte Datenverkehr einsehbar. Ist die Netzwerkkarte in den Promiscuous Mode geschaltet, verarbeitet der Rechner nicht nur die Datenpakete, die an seine MAC-Adresse gesendet wurden, sondern alle Datenpakete im Netzwerk.

Ansonsten ist das sniffen in einem geswitchten Netzwerk schwieriger aber nicht unmöglich.

Einige Methode hierfür:

Flooden des SwitchesDoS Attacke
ARP-UmleitungSich dem Ziel als Router ausgeben.
ICMP-UmleitungDem Host wird mitgeteilt, dass die Route über einen anderen Router kürzer ist. Die Routing Tabelle des Host ändert sich der Angreifer kann sich selbst als Router anbieten.
Telnet / SNMP(Simply Network Management Protocol)
Besteht zum Switch Administrationsberechtigung (z.B. wenn das Herstellerseitig vergebene Passwort nie geändert wurde), so kann ein Port zum Monitor-Port konfiguriert werden.

Freeware Sniffer sind z.B. Ettercap, NETCORtools, Tcpdump oder Wireshark. Hier ein Beispiel mit Wireshark.

Zu sehen ist die http Object list. Alle über http angefragten Objekte sind hier zu finden. Zum Beispiel die Paketnummer 5933 entspricht einem Video von Youtube. Durch Abspeichern dieses Eintrages auf dem Rechner wird das Video exportiert und eine flv- Videodatei stände zum anschauen bereit.

Portscanning

Portscanner tasten Netzwerke ab, auf der Suche nach Hosts, Ports, Diensten, Programmen und Programmversionen.

Mit dem scannen eines Netzwerkes wird versucht, eine Antwort von TCP Ports zu erhalten. Die Ports 0-1023 sind für bestimmte Dienste reserviert, die Ports 1024- 49151 sind registriert und die Ports 49152-65535 sind frei verwendbar.
Z.B. Port 21 = FTP / Port 23 = Telnet / Port 80 = http

Mit einem Portscanner wird versucht, mit dem Port, der gescannt wird, eine Verbindung aufzubauen. Weit verbreitete sind z.B. Nmap, Superscan oder Languard von GFI. Mehrere Scanergebnisse sind möglich.

Wenn auf dem TCP Port kein Dienst auf eine Verbindung wartet erhält der Sender keine Antwort auf das gesendete Syn-Paket, was einen time out zur Folge hat. Nach einigen Versuchen beendet das anfragende System den Verbindungsversuch. Zu viele Verbindungsversuche dieser Art können vom Zielrechner als DoS-Angriff gewertet werden.

Wenn über den gescannten Port eine ICMP-Port-unreachable Nachricht an den Sender zurückgesendet wird, ist dies für den Scanner ein erster Erfolg. Der Verbindungsversuch wird schneller abgebrochen als bei einem time out, desweiteren weiß der Sender, das dieser Port genutzt wird.

Wenn eine Verbindung über einen Port zustande kommt, filtern die Scanprogramme Eigenschaften aus den Paketen heraus und können das Betriebssystem, die Version des Betriebssystems, Dienste oder Versionen der Dienste erkennen.

Mehrere Varianten eines Portscans sind möglich, hier einige:

CONNECT Scan

Der Angreifer versucht eine einfache Verbindung aufzubauen. Er sendet ein Syn-Paket. Ist bei dem gescannten Rechner der Port geöffnet, erhält er ein Syn / Ack-Paket zurück, bestätigt dieses durch ein Syn / Ack-Paket seinerseits und die Verbindung steht. Da Verbindungen vom Betriebssystem und der Anwendung protokolliert werden, hinterlässt die scannende Person mit dieser Scanart Spuren.

TCP-SYN Scan

Wenn der Angreifer nach Erhalt des ersten Syn-Ack-Pakets vom gescannten Rechner kein Syn / Ack-Paket zurücksendet, sondern ein Paket mit gesetztem RST-Flag, so weiß der Angreifer, das der Port offen ist, hinterlässt durch die nicht vollständig aufgebaute Verbindung aber weniger Spuren.

Syn / Half-open Scan

Bei diesem Scan sendet man nur das erste Syn-Paket des normalen 3 Wege Handshakes. Erhält man ein Paket mit gesetztem Syn / Ack-Flag zurück, so ist der Port offen. Kommt ein Paket mit gesetztem RST-Flag zurück, so ist der Port geschlossen. Weitere Pakete werden nicht gesendet. Bei diesem Verfahren ist ein Logging noch geringer.

TCP Fin Scan

Bei einem TCP Fin Scan werden Pakete mit gesetztem Fin-Flag gesendet. Die Idee an diesem Scan ist, dass geschlossene Ports auf ein Paket mit Fin-Flag ein Paket mit einem RST-Flag zurückschicken. Ein offener Port schickt nichts zurück. Bei richtig konfigurierten Firewalls und Betriebssystemen funktioniert dieser Scan aber nicht.

TCP Null Scan

Bei diesem Scan wird ein Paket gesendet, bei dem kein Flag gesetzt ist. Auch hier sollte ein offener Port das Paket verwerfen und ein geschlossener Port mit ein Paket, in dem das RST-Flag gesetzt ist, antworten.

TCP Xmas Scan

Hier sendet der Scanner hintereinander 3 Pakete mit a. gesetztem Fin-Flag, b. gesetztem Urg-Flag und c. gesetztem Push-Flag. Wie auch bei Fin oder Null Scan soll ein offener Port die Pakete verwerfen und ein geschlossener Port ein Paket mit gesetztem RST-Flag zurücksenden.

Das Ergebnis von einem Scan mit LANguard von GFI könnte so aussehen. (Adressen entfernt und Ergebnisanzeige begrenzt, da Probeversion) LANguard zeigt bei gefundenen Rechnern im Netzwerk diverse Informationen zu Schnittstellen jeglicher Art und Diensten. Unter anderem auch die „vulnerabilities“, (in Deutsch=Schwachstellen) oder im unteren Bild die offenen TCP Ports.

Phishing / Pharming

Phishing kommt aus dem Bereich des Social Engineering. Der Angreifer sendet eine (Spam-)E-Mail an eine möglichst große Menge Adressaten. Die E-Mail sieht aus wie eine E-Mail einer Bank, Sparkasse, Auktionshaus, eines Onlineshops oder des eigenen Unternehmens (Remotezugang).

Das Opfer soll direkt in der täuschend echt aussehenden E-Mail, oder auf der verlinkten Homepage, die meist auch vom Namen her dem Original sehr ähnlich aussieht, seine Daten preisgeben. Dies können Anmeldenamen, Kennwörter, PINs, TANs, Kreditkartennummern oder Sozialversicherungsnummern sein.

Anfangs waren die Seiten noch mit Schreib- und Grafikfehlen gespickt, später wurden HTML-Code und Bilder von seriösen Seiten übernommen, was das Erkennen erschwerte. Das Nachahmen einer Internetseite wird auch als „spoofing“ bezeichnet. Dem Opfer wird oft dringender Handlungsbedarf oder ein Kundendatenabgleich vorgegaukelt (Wenn Sie jetzt keine Daten eingeben wird Ihr Konto gesperrt oder Ihre Daten gehen verloren).

Wenn der Angreifer schon als Man in the Middle die Verbindung zwischen Client und Server kontrolliert, ist auch die Verwendung von Einmalpasswörtern nicht immer eine sichere Lösung. Wenn der Angreifer das Passwort abfängt, dieses somit nicht an den Server weitergeleitet wird, dadurch der Authentifikationsvorgang abgebrochen wird und der Server den Passwortzähler nicht erniedrigt, so kann sich der Angreifer mit dem abgephishten Passwort als Client einloggen.

Eine Weiterentwicklung des Phishing ist das Pharming. Entweder wurden die Daten auf dem DNS-Server, den das Opfers benutzt, manipuliert oder über Malware wurde der DNS- Cache des Opferrechners manipuliert. Somit gibt der Client die gewünschte URL im Browser ein, im DNS-Cache des Rechners steht zu dieser schon eine verfügbare IP- Nummer und der Client landet nicht auf der gewünschten Internetseite, sondern auf der des Angreifers.