[Paper] ARPSpoofing / MTM / Sniffing mit DSniff by Asmo

Warum ich euch das Zeigen möchte ist ganz einfach.
Man kann bsp mit dieser Tool-Sammlung sehr einfach
sein Netzwerk Auf Schwachstellen untersuchen und ev. Gegenmasnahmen
ergreifen. Für den ein oder anderen ist es eventuell auch mal ganz Lustich
seinen Großen Bruder zu ergern bsp wenn man diese Attacke mit DNS-Spoofing Combiniert
kann man ihn auf x-beliebe Seiten schicken ;) Das gesicht kann Götlich sein.

Aber in erster line geht es mir darum euch zu zeigen wie man
sein Netzwerk absichern kann und ein wenich Netzwerk Verständniss bekompt.

3. Die DSniff-Suite

Die DSniff-Suite ist eine Tool-Sammlung um Netzwerk-Schwachstellen zu finden.
Unteranderem ist es möglich durch das enthaltene Tool "Macof" Das sog. Switch-Jimming
auszufüren. Hierbei bsp würd der Switch/Router Interne Mac-Speicher überflutet
was die meisten Router / Switch's in den Notmodus zwingt in der sie nicht
als Switch Agieren sondern als Hub. Der Unterschied hierbei liegt darin
das die Datenpackete an Alle Netzwerk-Teilnähmer gesendet werden und somit
ohne Probleme mit einem Sniffer abgefangen werden Können. Bei Swiches die
dagegen Imun sind kann die ARPSpoof-Attacke zum gewünschten Ziel führen.
Das Switch-Jimming hat den Nachteil das es den Switch auch zum Kompletten Absturtz bringen kann.
Beim ARP-Spoofing hingegen kann man darüber hinaus einzellene Rechner im Netzwerk Angreifen bez
sich zwischen Router und NIC (Netzwerkschnitstelle) Schalten. Dabei übernimpt der Angreifer die Position
des Routers und sorgt dafür das die Packete Ihr Ziel erreichen. Eine Sog. Man-In-the-Middel Attacke
nent man sich dar der Angreifer sich zwischen sein Opfer und dessen Router Schaltet. Es sind noch einige
andere Attacken mit dieser Tool-Sammlung möglich aber ich werde in diesem Tool die ARPSpoof Attacke beschreiben
jedeglich.

4.ARPSpoof

Wie bereits erwähnt handelt es sich hierbei um eine MTM(Man-in-the-Midel) Attack. Wodurch
die Datenpackete über den Angreiffer laufen der sie dan weiter an ihr ziel leitet.

Vorrausetzung hier für ist die Installation der DSniff Tool Samlung.

Unter Debian auf der Shell:

1. #:: root@workst#: apt-get update && apt-get install dsniff
2. #:: root@workst#: echo 1 > /proc/sys/net/ipv4/ip_forward

letzeres bewürkt das der Kernel Angewissen würd Datenpackete weiterzuleiten!

Was würd Benöticht:

- Die IP des Routers im Netzwerk in unserem fall bsp "192.168.1.1"
- Die IP des Opfers bsp "192.168.1.10"

- Ein NetzwerkSniffer (tcpdump oder für GUI Geile Wireshark bsp)

- Nun öffnen wir zei Terminal Fenster.
- Und geben jeweils ein:

1. Terminal #:: arpspoof -t 192.168.1.10 192.168.1.1
2. Terminal #:: arpspoof -t 192.168.1.1 192.168.1.10

Nun würd der Gesampte Traffic von 192.168.1.10 über unseren Rechner geleitet
und dan erst an sein Ziel.

Wir können nun den Traffic den unser Opfer versacht mit einem Sniffer unsere wahl Mitschneiden
und danach Weiter Analysieren(Passwörter Abgreifen etc)

bsp via tcpdump:

3.Terminal #:: tcpdump -i eth0 -w /tmp/test.cap

bewirkt das der Gesnifften Datenstrom in die file test.cap geschrieben würd,
die man mittel Wireshark dan sich naher Anschauen kann bsp.

5.: Wie man sich dagegen Schützen kann.

Stichwort: Feste ARP-Tabelle
Unter Linux: arp -s $IP_DES_ROUTERS $MAC_DES_ROUTERS

Zumindst gegen Scriptkiddys würksam!
Ein IDS System im Netzwerk ermöglicht es dazu noch
den Angreiffer zu Ermitteln oder gegenmasnhamen zu ergreifen früzeitich.

Für Die Bastler unter uns:
Wer einen Linux-Basierrenden Router sein eigen nent egal ob
Eigenbau oder Gekauft (bsp Fritzbox mit mod.Firmware) und darauf
einen VPN Service Installieren kann, kann den Datenstrom zwischen
Router/Gataway und Seinem Rechner gegen Sniffing im Netzwerk Schützen.
Ein Angreifer kann zwahr unter umständen auch OnTheFly ein SSL Zertifikat Faken
etc bla aber er erhält erstmal jedeglich den Verschlüsselten Traffic.

Wer ganz auf Nummer sicher gehen will der Schreibt sich eine eigene Socks Anwendung
sowohl für den Router/Gataway als für den Client wo er mittels AES Krypt. Algo den Traffic
Verschlüsselt und auf der Gegenseite Entschlüsselt. Somit müste der Angreiffer einen der beiden
Stationen unter Kontrolle haben aber in dem fall ist es eh ein leichtes den Traffic Abzugreifen.

Es gibt verschiedene Ansätze dieser Problematik Entgegen zu würken.

.Schlusswort::

Ich hoffe ich konte einen kleinen Einblick geben wie man mittels MTM Attacke bsp
In einem geswitchten Netzwerk Sniffen kann. Was ihr mit dem Gewonnen Wissen
macht ist euch überlassen darauf hab ich keinen Einfluss. Jedem der das aber
gern mal bei sich in der Firma einsetzen möchte sei gesargt sowas kann sehr leicht
Identifiziert werden bsp durch IDS Systeme etc oder einem Gescheiten NetzwerkAdmin
der sein Handwerk versteht. Das Resultat ist nicht selten die Fristlose Kündigung!

Bei Fragen oder Verbesserrungsvorschläge bin ich immer Offen für Kretick!
Wer meine Rechtschreibung gern Korregieren möchte *ICh würde mich freuen* Soll sich
bei mir Melden.

Dieses Paper darf gern Weiter Publiziert werden solange der Inhalt nicht Verändert würd
und mein Nick erhalten bleibt.

Have Fun
Asmo