LAN-Hacking

huehr · 10.03.2005

Moin,

ich bin gestern scheinbar Opfer eines LAN-Hackers geworden. Er war wohl in der Lage, meinen gesamten LAN- und Internetverkehr mitzuloggen. Er hatte dann unter anderem meinen Internet-Cache auf seiner Maschine. Er konnte mir Seiten nennen, die ich besucht habe und was ich sonst so im LAN gemacht habe. Das ganze war jetzt nicht so schlimm, wei les ein Bekannter war und mir das offen gesagt und mir zumindest die Ergebnisse offen gezeigt hat. Mehr verrät er mir nicht.
Ich hatte natürlich eine Firewall mit höchsten einstellungen installiert. Und ich denke, dass er auf meinen Rechner so nicht drauf kam, weil ich auch mit anderen Tools (Portscans, etc.) versucht habe, auf mein Notebook draufzukommen. Diese Programme (z.b. Shadow Security Scanner) wiesen keinerlei Angriffsfläche auf, so dass ich davon ausgehe, dass er sich irgendwie zwischen dem Gateway und mir gesetzt hat. Verraten wollte er mir nicht, wie er das gemacht hat. Mir fiel auch auf, dass er unsichtbar war, da ich einen Scan auf die gsamte IP-Range gemacht habe und ein Sniffer brachte auch keine Infos. Das merkwürdige war, dass er in einem anderen Raum und an einer anderen Switch hing. Und das lief über Kabel. WLAN o.ä. war deaktiviert.
Er erzählte irgendwas von virtuellen Maschinen, IPSec und anderen Tools...
VNC, DameWare oder IdealAdministration können es nicht gewesen sein. Das wäre zu simpel und mir wäre es aufgefallen.
Kennt ihr da eine Möglichkeit, sowas zu machen?

nic_power · 10.03.2005

Hallo,

huehr schrieb:
ich bin gestern scheinbar Opfer eines LAN-Hackers geworden. Er war wohl in der Lage, meinen gesamten LAN- und Internetverkehr mitzuloggen.

Das einfachste ist die Verwendung eines Sniffers der den gesamten Verkehr mitloggt. Bei geeigneter Konfiguration ist der sniffende Host auch nicht sichtbar.

Das merkwürdige war, dass er in einem anderen Raum und an einer anderen Switch hing. Und das lief über Kabel. WLAN o.ä. war deaktiviert.
Er erzählte irgendwas von virtuellen Maschinen, IPSec und anderen Tools...

Beispielsweise kann er den Verkehr über sich umleiten oder hängt sich an den Monitoring-Port des Switches.

Nic

huehr · 10.03.2005

Gibt es denn die möglichkeit, aktive Sniffer zu suchen und aufzuspüren oder irgendwie diesen Rechner zu sehen?
Kann er sich z.b. durch Subnetting für mich unsichtbar gemacht haben?
Ich hatte z.b. IP Adresse 192.168.0.13 mit Subnet 255.255.255.0
Für mich ist ja dann nur das Netzwerk 192.168.0.0 sichtbar.
Wenn er jetzt mit einer anderen Subnet-Mask und einer anderen IP-Range arbeiteit, wäre es denkbar, dass er mich sieht und ich ihn nicht?

Ich möchte irgendwie der Sache auf den Grund kommen, um daraus zu lernen.

nic_power · 10.03.2005

Hallo,

wenn er sich in einem anderen Subnetz befindet, kann er nicht sniffen da die Netze getrennt sind.

Gibt es denn die möglichkeit, aktive Sniffer zu suchen und aufzuspüren oder irgendwie diesen Rechner zu sehen?

Das hängt sehr stark von der Netzwerktopologie und der Konfiguration des Sniffers ab. Wenn Du beispielsweise selbst einen Sniffer verwendest, solltest Du beispielsweise entsprechende MAC-Frames des anderen Systems sehen können (selbst dann, wenn auf diesem keine IP-Adresse konfiguriert ist).

Nic

huehr · 10.03.2005

Danke für die Antworten.

Aber du kannst ja durch Subnetting den Netzwerkbereich erweitern. Ich habe die genaue Berechnung nicht parat, aber du kannst ja durch Subnetting z.b. Netzwerk 192.168.0.0 und 192.168.1.0 zusammenfassen. Für mich wäre dann z.b bei normaler Class-C-Netzwerk-Maske (255.255.255.0) das andere LAN nicht sichtbar und der andere mit der modifizierten Maske (z.b. 255.255.224.0) würde beide Netze sehen, weil es für den Rechner ja nur 1 Netz wäre.. Ich hoffe, du weisst, was ich meine..

Siege · 10.03.2005

huehr schrieb:
Gibt es denn die möglichkeit, aktive Sniffer zu suchen und aufzuspüren oder irgendwie diesen Rechner zu sehen?

Das Zauberwort heisst IDS - es gibt ganze Berufsgruppen, die sich mit dem Aufspüren von Eindringlingen beschäftigen - google mal nach "Intrusion Detection" (z.B. http://www.sans.org/resources/idfaq/ ) das ist aber nur so leicht wie es einem der Eindringling macht.

Ein Scan wird vermutlich nicht viel bringen - der "Hacker" wird sicherlich keine aktiven Antworten verteilen.

huehr schrieb:
Ich hatte z.b. IP Adresse 192.168.0.13 mit Subnet 255.255.255.0
Für mich ist ja dann nur das Netzwerk 192.168.0.0 sichtbar.
Wenn er jetzt mit einer anderen Subnet-Mask und einer anderen IP-Range arbeiteit, wäre es denkbar, dass er mich sieht und ich ihn nicht?

Nein. Er kann Dich auf so direktem Weg nicht sehen. Wenn er versuchen würde, Deinen Rechner aktiv anzusprechen, würde das auf diesem Weg nicht gehen. Er würde Daten an Deinen Rechner schicken, dieser würde aber wiederum den "Weg zurück" nicht kennen und somit käme die Antwort Deines Rechners nicht bei ihm an. Dabei ist auf der Kommandozeile ein "route print" immer ganz interessant, möglicherweise steht dort eine Route, die Dir nicht ganz sauber vorkommt?

Mit höchster Wahrscheinlichkeit ist das in Deinem Fall etwas sehr einfaches - so einfach, dass es Dir und uns nicht mal auffällt.

huehr · 11.03.2005

Naja.. er wird wohl mit einem Sniffer gearbeitet haben... oder er hat sich irgendwie zwischen meinem Rechner und den Gateway gesetzt.
Beim nächsten Mal werde ich einen riesen Haufen Müll durchs LAN schicken und seinen Rechner zubomben.. *gg*

FatherFrost · 12.03.2005

einen sniffer muss man nicht aufspüren können. er kann doch total passiv arbeiten.
benutzst du switches oder hubs?
was für nen netzwerk ist denn das? habt ihr unüberwachte netzwerkanschlüsse?

huehr · 12.03.2005

Das war ein LAN in einem Schulungscenter.. was stinknormales mit nem Cisco-Gateway, der per DHCP Adressen verteilt und effen Switchen.... Nichts besonderes..

FatherFrost · 12.03.2005

hmmm wenn ihr switches habt, dann muss der irgendwo ganz nah am ausgang ins internet sich eingeklinkt haben. oder natürlich das routing der switches umgebogen, aber das kann man ja schnell feststellen. aber wenn er dein internet cache hatte... vielleicht hat er nen trojaner oder nen rootkit auf deinem pc installiert?

huehr · 12.03.2005

Wenn er das gemacht hätte...
Ich hatte ne aktuelle Firewall und AntiVirus installiert und aktiv. Wir haben ja während der Schulung Portscans usw laufen lassen. Nicht mal ein Ping ging durch. Die Programme haben keine einzige Schwachstelle auf meinem Rechner gefunden. Und über eMail kann das auch nicht passiert sein, da ich meine Mails online belasse und sie nicht mit Outlook o.ä. ruterziehe und lese. Und ich führe auch keine Anlagen aus, die dranhängen, ausser ich weiß 100%ig, was es ist...

FerFemNemBem · 12.03.2005

Halloechen,

kannst du zu 100% ausschliessen, dass er Dein Admin PW kennt und einfach ueber die Adminfreigaben auf Deinen Rechner zugreift?
Damit wuerde er jedenfalls problemlos an alle von dir genannten Informationen kommen ohne dass Deine Virenscanner etc. meckern...

Gruss, FFNB.

FatherFrost · 12.03.2005

aber wenn du switches verwendest, dann muss es nur 1-2 rechner geben wodurch deine packete gehen. kannst ja direkt davor, wo dein lan ins netz geht, nen proxi aufsetzen und mit dem verschüsselt kommunizieren.

ok, ist ne ganz perverse und unlogische lösung

Siege · 13.03.2005

Also ein Sniffer lässt sich im Normalfall aufspüren, weil er die Netzwerkkarte in den "prmiscuous mode" versetzen muss, um die nicht für diesen Rechner bestimmten Pakete abzufangen. Passiert das, lässt sich feststellen, ob eine Karte im Netz in diesem Modus läuft. Die meisten Sniffer setzen mit den gängigen Netzwerkkarten ja sogar ein "ACK" ins Netz ab, wordurch das mit den richtigen Programmen (im allgemeinen unter Linux) auf MAC-Ebene durchaus aufspürbar ist.
Ein komplett passiver Sniffer lässt sich nur mit entsprechender Hardware (und ebenfalls unter Linux) bewerkstelligen - was ich persönlich in diesem Fall für eher unwahrscheinlich halte...

muki · 24.02.2006

billiger clon vielleicht?

Thunderbird · 26.02.2006

Es ist möglich im Lan Verbindung über den eigenen Rechner umzuleiten .
Auf Osi Layer Ebene 2 (Sicherungsschicht) gibt es das ARP ( Address Resolution Protocol) Protokoll,
dieses weist der MAC (Mandatory Access Control) eine Ip Adresse zu.

Mit geeigneten Tools ist es jetzt machbar Verbindungen von PC A(Opfer)
über PC B(Sicherheitsspezialist) zu PC C(anderer PC im Lan, Server im Internet) umzuleiten.

Namen der Tools unter Linux werde ich jetzt hier mal nicht nennen. Es ist sogar mit Windows möglich.

Eine normale Firewall erkennt diesen Angriff nicht. Es gibt aber Firewalls die soetwas abwehren können, habe es noch nicht getestet aber die Sygate sollte es schaffen (wurden jetzt leider von Symantec gekauft).

Erkennen kann man diesen Angriff, wenn man in der Shell oder bei cmd "arp -a" eingibt, taucht hier 2x die gleiche Mac wird gesnifft.

Unter Linux ist es aber möglich in einem speziellen Modus ( Bridge Sniffing) und 2 Netzwerkkarten unerkannt/unsichtbar zu horchen.
Mir ist keine Methode bekannt soetwas aufzudecken, wobei ich nicht ausschließen will das es generel unmöglich ist.

Cu Thunderbird

TCM- · 26.02.2006

Thunderbird schrieb:
MAC (Mandatory Access Control)

s/Mandatory/Media/

edit: die mac-adressen in der lokalen arp-tabelle muessen eindeutig sein. es kann also nicht zweimal die gleiche auftauchen. manche unix-kernel bringen aber eine syslog-meldung, dass ip-adresse soundso von mac-adresse soundso in der arp-tabelle ueberschrieben wurde.

http://www.packetwatch.net/documents/papers/layer2sniffing.pdf

Thunderbird · 26.02.2006

TCM- schrieb:
s/Mandatory/Media/

edit: die mac-adressen in der lokalen arp-tabelle muessen eindeutig sein. es kann also nicht zweimal die gleiche auftauchen. manche unix-kernel bringen aber eine syslog-meldung, dass ip-adresse soundso von mac-adresse soundso in der arp-tabelle ueberschrieben wurde.

http://www.packetwatch.net/documents/papers/layer2sniffing.pdf

Ich habe es gerade nochmal getestet

Hier ist die Ausgabe von "arp -a"

Code:

pc1 (192.168.1.xx) auf 00:0F:A3:XX:XX:XX [ether] auf eth0
firewall1 (192.168.1.xx) auf 00:0F:A3:XX:XX:XX [ether] auf eth0
router2 (192.168.1.xx) auf 00:0F:A3:XX:XX:XX [ether] auf eth0

an TCM-: Of course it runs NetBSD. Ich hatte bis vor kurzem ein Netbsd 1.62 bei dem mir leider die Festplatte abgeraucht ist. Dann habe ich eine neue 200 Gigabyte Platte(und einen IDE Controller)gekauft und Netbsd 3.0

installiert und ich muss sagen genial. Samba 3.0.20 kompiliert (pkgsrc) und das Ding rennt(ist nur nen P2 266 mit 128 MB Edo Ram). Bei mir läuft aber(bins von Linux gewöhnt) trotzdem die Bash(3.0).

TCM- · 26.02.2006

ja, war natuerlich auch quatsch, was ich geschrieben hab. die ip-adresse kann nicht doppelt sein. doppelte mac-adresse mit unterschiedlichen ip-adressen geht natuerlich.

muki · 26.02.2006

natürlich ist es möglich die gleiche mac und ip zu haben. es muss kein konflikt auftreten. kommt ganz darauf an wie die konfiguration ist. wenn einer versucht zu clonen und nur die gleiche mac hat dann ist es kein problem ihn aufzuspüren. falls er auch die gleche ip hat dann scanne den kompletten datenverkehr verhalte dich ruhig (nicht rumsurfen) und du erwischst den übeltäter. lass ihn ruhig surfen und denken er hätts voll im griff, abwarten tee trinken und sobald du näher infornmationen über ihn hast ziehe ihm sein monitor über den kopf. billiges wardriving, genau so billig ist jeder der es macht.

LAN-Hacking

huehr

nic_power

huehr

nic_power

huehr

Siege

huehr

FatherFrost

huehr

FatherFrost

huehr

FerFemNemBem

FatherFrost

Siege

muki

Thunderbird

TCM-

Thunderbird

TCM-

muki

LAN-Hacking

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums