Seite 2: Scannen und Umleiten

Inhaltsverzeichnis

Netzwerkscan

Auch wenn Kali mit einer grafischen Oberfläche bootet, ist der Dreh- und Angelpunkt meist die Konsole. Man erreicht sie unter anderem über das schwarz-weiße Rechteck, oben links in der Statusleiste. Für viele Operationen benötigt man Netzwerk. Der Befehl
ifconfig -a zeigt, ob und welches der vorgefundenen Netzwerk-Interfaces via DHCP mit einer IP-Adresse versorgt wurde.

Bei Bedarf weist man eine IP wie folgt manuell zu:

ifconfig eth0 192.168.0.2 netmask 255.255.255.0

Der erste Parameter entspricht dem Namen der Schnittstelle. Es folgen die gewünschte IP-Adresse, die Zeichenfolge "netmask" sowie die Netzwerkmaske. Kali Linux unterstützt zahlreiche WLAN-Adapter. Die Konfiguration geht am besten über den Netzwerkmanager von der Hand, der seine Präsenz in der oberen rechten Bildschirmecke durch ein Symbol kundtut, das zwei Rechner zeigt.

Damit ist Kali Linux im Netz – aber wer noch? Mit dem Netzwerk-Scanner nmap findet man das sehr schnell heraus. Starten Sie seine grafische Bedienoberfläche, indem Sie zenmap in die Konsole tippen. Ziel ist das lokale Netzwerk. Hat das System die IP-Adresse 192.168.0.2 bekommen, geben Sie also 192.168.0.0/24 ein, wodurch nmap den Adressblock 192.168.0.0 bis 192.168.0.255 scannt. Als Profil wählen Sie für den Probelauf den oberflächlichen "Quick scan". Drücken Sie jetzt den Scan-Button, woraufhin sich im linken Fensterbereich eine Liste der antwortenden Netzwerkteilnehmer aufbaut. Über den Tab "Ports / Rechner" erfährt man, auf welchen Ports die Clients antworten.

Man in the Middle

Stößt man beim Netzwerk-Scan auf Clients, die man nicht so recht zuordnen kann, liefert eine gezielte Analyse des Datenverkehrs mitunter wertvolle Hinweise. In den üblichen Netzwerkkonfigurationen kommt fremder Traffic aber nicht am Analysesystem vorbei, weshalb Sie eine Umleitung durch sogenanntes Arp-Spoofing einrichten müssen. Das klingt komplizierter, als es ist.

Zunächst weisen Sie Kali Linux an, die in Kürze einprasselnden Datenpakete des Clients an ihr eigentliches Ziel, den Router, weiterzuleiten:

echo 1 > /proc/sys/net/ipv4/ip_forward

Anschließend manipulieren Sie mit arpspoof die ARP-Tabelle des Opfers. In dieser ist festgelegt, welche IP-Adresse zu welcher MAC-Adresse gehört. Mit dem folgenden Befehl überzeugen Sie den Client davon, Pakete, die für die IP-Adresse des Routers bestimmt sind, an die MAC-Adresse des Kali-Rechners zu schicken:

arpspoof -i eth0 -r -t 192.168.0.5 192.168.0.1

eth0 bezeichnet das eingesetzte Netzwerk-Interface und -r bewirkt, dass der Verkehr in beide Richtungen umgeleitet wird. Sie erhalten also auch die Pakete, die der Router an den Client schickt. Dem Parameter -t (wie Target) folgt die IP-Adresse des Opfers (in unserem Beispiel 192.168.0.5) und zu guter Letzt geben Sie noch die IP des Routers an.

Sie befinden sich mit Kali Linux nun in der mächtigen Position des "Man in the Middle" – also zwischen dem zu analysierenden Client und dem Router. Jetzt ist der Zeitpunkt gekommen, mit dem Tool tcpdump einen Blick auf den durchgeleiteten Traffic zu werfen:

tcpdump -i eth0 -A host 192.168.0.5

Ist der Client gerade aktiv, rauscht sein Datenverkehr nun durch die Konsole. Diesen Effekt können Sie auch mit dem grafischen tcpdump-Äquivalent Wireshark nachvollziehen.

Da inzwischen fast alles irgendwie mit dem Internet spricht, gilt es, die Datenflut sinnvoll zu filtern. Um etwa nur den Datenverkehr auf dem HTTP-Port 80 anzuzeigen, hängen Sie ein and port 80 an den Befehl. Ein | grep Suchbegriff wiederum würde nur Pakete anzeigen, die eine bestimmte Zeichenkette enthalten.

Für zahlreiche naheliegende Filteraufgaben bringt Kali Linux spezialisierte Tools mit. So extrahiert etwa urlsnarf ausschließlich HTTP-Anfragen aus dem Datenstrom. Optisch eindrucksvoll ist driftnet: Nach dem Start scrollen die im Netzwerk übertragenen Bilder über den Bildschirm. Wer noch immer ein unzureichend geschütztes WLAN betreibt, ist wohl spätestens dann vom Ernst der Lage überzeugt, wenn in Echtzeit Firmeninterna oder Urlaubserinnerungen über einen fremden Bildschirm flimmern. Wenn das nicht reicht, kann man mit dsniff noch einen draufsetzen: Das Schnüffelprogramm spürt Zugangsdaten auf, die zum Beispiel beim Anmelden an Webseiten, beim Mail-Versand oder dem Verbindungsaufbau mit einem FTP-Server übertragen werden.

Freilich sind diesen Werkzeugen Grenzen gesetzt. Sobald Verschlüsselung zum Einsatz kommt, kann man den Inhalt der Datenpakete, wenn überhaupt, nur durch einen tiefen Griff in die Trickkiste in Erfahrung bringen.