Sniffing & Spoofing Workshop Alexander Casall und Stefan Heinze

Agenda Theorie Sniffing Spoofing Workshop

Sniffing - Allgemein Sniffen = Abhören des Netzwerkverkehrs Wird von Angreifern, aber auch von Administratoren zur Netzwerkanalyse genutzt Wichtig für das Sniffen ist die Netzwerkstruktur Tools: Wireshark Tcpdump EtherPeek …

Sniffing - Aufbau Bestandteile eines Sniffers: Capture Driver Buffer Filter Capture Driver: ist ein einfacher Treiber welcher sich den Treiber der Netzwerkkarte einklingt um die Daten mithören zu können. Buffer: Daten werden zwischengespeichert bis ihre Analyse erfolgt Filter:

Sniffing - Abwehr Netzwerk sicher aufbauen Einteilen des Netzwerkes in BCD durch Switches, Router, Bridges Allerdings nicht zu 100% sicher, da Angriffe wie ARP-Spoofing, Flood Atacke, ICMP fälschen oder Switch/Router hacken dieses wieder aufheben können ARP-Spoofing: Flood Atacke: ICMP fälschen: Switch/Router hacken:

Sniffing - Abwehr Sniffer aufspüren Keine einfache Aufgaben, da Sniffer wenig Spuren hinterlassen Prüfen ob eine Netzwerkkarte sich im Promiscuous-Modus befindet Erhöhte Latenzzeiten „kontersniffing“

Sniffing - Abwehr Daten verschlüsseln Auf protokollebene Auf Applikationsebene

Spoofing - Allgemein Im allgemeinen versteht man unter Spoofing Methoden, mit denen der Angreifer in die Kommunikation eingreift und Pakete so verändert werden, dass Authentifikations- und Identifikationsverfahren nicht mehr greifen. Dabei ist das Ziel die Pakete so zu verändern, dass die trotzdem vertrauenswürdig erscheinen.

Spoofing - ARP ARP = Zuordnung von Hardwareadressen zu IP-Adressen Angriff: Vertrauenswürde IP mit Angreifer Hardwareadresse verknüpfen Vielzahl von falschen Zuordnungen an Host senden Bei Erfolg werden Pakete an Angreifer gesendet Nachteile: geringe Gültigkeit des ARP-Cache, intelligente Hardware, statisches Mapping Um Sitzung aufzubauen  Host ARP-Broadcast  bekommt Hardwareadresse  Speichert in Host-ARP cache

Spoofing - DHCP Angriff auf Server Angriff auf Client DoS Angriff um alle Adressen zu belegen Kein Client kann sich mehr im Netzwerk anmelden Angriff auf Client Angreifer Antwortet auf DHCP-Anfrage Falsche Einstellungen an Client schicken Bspw. Default Gateway für Man-in-the-middle Angriff Gegenmaßnahme: DHCP-Snooping DHCP-Snooping wird in Hardwarekomponenten integriert Verhindert das Weiterleiten gefälschter DHCP-Pakete um dies zu erreichen wird eine Tabelle mit Informationen zu den Schnittstellen des Switches aufgebaut und diese werden in vertrauenswürdige und nicht-vertrauenswürdige Schnittstellen eingeteilt.

Spoofing - DNS DNS: Auflösen einer URL in eine IP-Adresse Ziel: Weiterleiten auf Webseite des Angreifers zum Ausspähen sensibler Daten Cache Poisoning: Cache des DNS Servers infizieren Angreifer bringt einen DNS-Server unter seine Kontrolle Fügt gefälschten Eintrag hinzu Andere Anfragende DNS-Server übernehmen diesen Eintrag

Spoofing - DNS Gegenmaßnahmen sind DNSSEC, IPv6 und SSL Zertifikate zur Authentifizierung

Spoofing - IP Ändern der Absenderadresse eines IP-Paketes Gegenmaßnahmen: SSH, IngressFilter, Engress Filter 1. Zunächst muss Frank in der Lage sein das IP-Paket von Stefan abzufangen. 2. Zugriff auf den gesamten IP-Header und kann somit die Absendeadresse ändern. Dabei trägt Frank seine eigene Adresse ein, damit er automatisch die Antwort von Alexander erhält. Hat er die Änderung vorgenommen schickt er das Paket weiter an Alexander. 3. Alexander hat das Paket empfangen und Antwortet auf diese. Dabei schick er natürlich das Paket zurück an Frank. 4. Frank hat nun das Paket erhalten und muss aufpassen nicht enttarnt zu werden. Sequenz-Nummer(Reihenfolge)mitgeschickt, um ein Abfangen der Pakete zu verhindern. Um den Angriff doch noch erfolgreich zu gestalten muss Stefan abgelenkt werden  DoS-Attacke Verbindung zu Alexander wird abgebrochen. Wenn dies erfolgreich funktioniert hat, kommunizieren nur noch Frank und Alexander miteinander.

Spoofing - MAC Annehmen einer anderen Identität auf Grundlage der MAC-Adresse W-LAN mit MAC-Filter Angreifer benötigt MAC-Adresse eines Benutzers Ändert seine eigene MAC-Adresse Angreifer kann sich in Netzwerk anmelden

Spoofing - Mail Versenden von E-Mails mit falscher Identität Anonymer Mailserver Mit Telnet verbinden E-Mails versenden Durch Programmier APIs

Spoofing - URL Weiterleiten eines Opfers auf die Seite des Angreifers Registrieren einer Domain Kopieren des Inhaltes einer anderen Domain Wird oft kombiniert mit Phishing www.hotmail.com@<andere IP Adresse> das “a” in der Adresse www.paypal.de unterscheidet sich kaum erkennbar vom kyrillischen “a”