Seite 3: Holzhammer

Inhaltsverzeichnis

Holzhammer

Neben dem ARP-Spoofing gibt es weitere Methoden, um Verbindungen in geswitchten Netzwerken zu belauschen. Die Zuordnung von MAC-Adressen zu Switchports sowie deren VLAN-Zugehörigkeit speichern Switches in einem Content Addressable Memory (CAM). Überflutet ein Angreifer diesen Speicher mit zu vielen MAC-Adressen, fallen viele Switches in den Hub-Modus zurück, in der sie sämtliche Pakete an alle Ports ausgeben. Das Tool macof aus der Netzwerk-Tool-Sammlung Dsniff erledigt solche Angriffe automatisch [6].

Auch durch das Klonen von MAC-Adressen kann sich ein Angreifer als ein anderer Netzteilnehmer ausgeben. Die Adressen von Ethernetadaptern sind zwar weltweit eindeutig, lassen sich aber temporär überschreiben. Die geklonte Adresse ist im LAN uneingeschränkt nutzbar, wenn man das Originalendgerät lahm legt, etwa durch eine DoS-Attacke.

Bastelstunde

Wurde die Fähigkeit zum Spionieren und Manipulieren vor einiger Zeit noch Experten und Hackern zugeschrieben, so existieren mittlerweile Windows-Tools, die einfach zu installieren und zu bedienen sind. Dazu zählen insbesondere Cain&Abel und Ettercap, die nicht nur den eigentlichen ARP-Angriff ausführen und einen Angreifer in die Man-in-the-Middle-Position bringen, sondern durch Filter auch einzelne Protokolle analysieren [7,8]. Die einzige Hürde ist es, die IP-Adresse des anzugreifenden Rechners und dessen Kommunikationspartners herauszufinden -- letzterer ist in den meisten Fällen das Standard-Gateway.

In umgeleiteten Telnet-, FTP-, HTTP- und POP3-Datenströmen entdeckte Passwörter zeigen Cain&Abel und Ettercap sofort an. Verschlüsselte Kennwörter versucht zumindest Cain&Abel mit seinem integrierten Passwort-Cracker per Wörterbuch- oder Brute-Force-Angriff zu entschlüsseln. Für Linux-Plattformen existieren weitaus mehr Programme, wie etwa die Kommandozeilen-Tools Arpoison, Hunt und die Sammlung Dsniff. Diese setzen aber Netzwerkkenntnisse zur Bedienung voraus, bieten dafür aber zahlreiche Angiffsmethoden und Anwendungsfilter. Einzig die Unix-Version von ettercap hat eine rudimentäre Bedienoberfläche. Ab ettercap NG wartet das Tool zwar mit einer komfortableren GUI auf, die ist allerdings weniger intuitiv zu bedienen.

Mit Cain&Abel ist es unter anderem besonders einfach, eine SSL-gesicherte Verbindung etwa zum Online-Banking kompromittieren. Es bricht diesen Schutz auf, indem es einen SSL-fähigen Web-Server simuliert und dem Opfer selbst erstellte SSL-Zertifikate präsentiert. Diese sind zwar nicht vertrauenswürdig und lassen im Browser eine Warnung erscheinen, aber so mancher Anwender ignoriert die schon gewohnheitsmäßig. Da der Client seine SSL-Verbindung nur zum Rechner des Angreifers aufgebaut hat, kann dieser die Daten im Klartext mitlesen und mit einer neuen SSL-Verbindung an den Bank-Server weitersenden. Außer der Warnung über das seltsame Zertifikat, bemerkt das Opfer solche Manipulationen nicht.

Auf ähnliche Weise lassen sich auch SSH-Verbindungen austricksen. Zwar sollte ein neuer Server-Key stutzig machen, trotzdem ignorieren viele Anwender auch diese Warnung. Bei Putty genügt dazu ein Klick, bei openssh muss der Anwender allerdings schon den alten Eintrag aus seiner know_hosts-Liste löschen. Zudem kann Cain&Abel eine Designschwäche in SSHv1 ausnutzen, um Passwörter on-the-fly mitzulesen.