geswitchtes netzwerk sniffen

irreversible

oberspammer

Registered: Mar 2001
Location: 2524
Posts: 1058

17.04.2002 - 10:14

wie kann man ein geswitchtes netzwerk sniffen? bzw. gibts tools, die dem switch die mac adresse vom originalen rechner vortäuschen?
bzw. kennt überhaupt wer ein tool, mit dem man pwds von ftp und web in einem geswitchtem netzwerk auslesen kann?

sorry, for double posting, aber ich glaub da passts besser her als in general software ...

mfg
irreversible

Maxx666

Kitemaniac

Registered: Sep 2001
Location: Longshore / West..
Posts: 712

17.04.2002 - 10:21

ich würde eher am ftp-server ansetzen. hier einen sniffer client aufsetzen und mit einer management-console eines entfernten rechners überwachen.

dann ist egal ob gehubt, geswitched, gerouted...

darst du das eigentlich? :rolleyes:

tintifax

Bloody Newbie

Registered: Mar 2001
Location: A
Posts: 2267

23.04.2002 - 15:00

naja wie wärs mit nem netzwerksniffer ( etheral z.b. )
die meisten pwds werden ja leider plain übertragen.

aber verrat uns dochmal für was du das brauchst.

willst dagach a leet hax0r sein

?

wintermute

Bloody Newbie

Registered: Mar 2002
Location: /dev/random
Posts: 43

23.04.2002 - 15:31

ja - kann man

entweder:

switch hat mgmt port an dem alle packets gespiegelt werden
oder switch spricht rmon2 und is monitoringfähig

oder:

dsniff ist dein freund

http://www.monkey.org/~dugsong/dsniff/

Zitat
This is how it works: The attacker's system sends out a forged ARP packet to the target system, telling it that its default gateway has changed to the attacker's system. This way, whenever the target system sends traffic on the network, it will send it to the attacker's system first, which then forwards the packet on to its original destination as if nothing ever happened.

frag aber vorher deinen admin

@edit:

ethereal bringt im geswitchten nw nix da du dort - und das is ja der sinn - nur pakete siehst die an _dein_ system gehen (src|dst).

wenn du allerdings incoming | outgoing traffic am selben system monitoren willst dann geht's - wenn du ein anderes sys im LAN beschnüffeln willst dann nit -> s.o.

Bearbeitet von wintermute am 23.04.2002, 15:40

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

23.04.2002 - 16:26

das dsniff aus dem oberen post kenn ich nicht. mag sein, dass das funktioniert, aber garantieren kann man es sicher nicht. die andere methode, die ich kenn, ist arp flooding. damit kann man auch den verkehr am switch umleiten. es werden allerdings auch viele pakete verloren gehen, vermute ich.

wintermute

Bloody Newbie

Registered: Mar 2002
Location: /dev/random
Posts: 43

23.04.2002 - 18:05

dsniff is ein "rundum sorglos" paket - u.a. is auch ein arp-flooding modul dabei.
ferner spezialisierte passwortsammler für std apps und auch spezialitäten wie ssh und ssl interception

ob flooding geht oder nicht hängt vor allem von der performance des switches und der box von der du ansetzt ab - ob spoofing geht hängt davon ab ob eine layer-2 security implementiert wurde oder nicht

irreversible

oberspammer

Registered: Mar 2001
Location: 2524
Posts: 1058

23.04.2002 - 18:57

thx 4 replys ... hab den thread schon total abgschrieben ghabt, deshalb so lang kein post!

das tool hört sich zwar gut an, aber ich bräuchat was für windoof ...
am laptop linux noch dazu aufsetzten geht sich leida net aus :eek:

bzw. wintermute kennst eine brauchbare win version davon?
des direkt am switch anhängen derf i sicher net ... es geht ja ums testen vom netzwerk und da kleine hax0r bricht auch nicht den kasten auf und hängt sich direkt am switch

thx auf jeden fall,
irreversible

irreversible

oberspammer

Registered: Mar 2001
Location: 2524
Posts: 1058

23.04.2002 - 18:58

Zitat von tintifax
naja wie wärs mit nem netzwerksniffer ( etheral z.b. )

gayt net ... warum hat eh schon wintermute erklärt ... des geht nur in an nw mit an hub, etc.

mfg

funka

Legend
ex-prophet(down below)

Registered: Sep 2000
Location: Vienna / SF
Posts: 6131

23.04.2002 - 19:03

der windows port von dsniff ist mehr als schwach imho

mein vorschlag:
linux-boot cd und dsniff auf diskette

irreversible oberspammer Registered: Mar 2001 Location: 2524 Posts: 1058	17.04.2002 - 10:14 wie kann man ein geswitchtes netzwerk sniffen? bzw. gibts tools, die dem switch die mac adresse vom originalen rechner vortäuschen? bzw. kennt überhaupt wer ein tool, mit dem man pwds von ftp und web in einem geswitchtem netzwerk auslesen kann? sorry, for double posting, aber ich glaub da passts besser her als in general software ... mfg irreversible
Maxx666 Kitemaniac Registered: Sep 2001 Location: Longshore / West.. Posts: 712	17.04.2002 - 10:21 ich würde eher am ftp-server ansetzen. hier einen sniffer client aufsetzen und mit einer management-console eines entfernten rechners überwachen. dann ist egal ob gehubt, geswitched, gerouted... darst du das eigentlich?
tintifax Bloody Newbie Registered: Mar 2001 Location: A Posts: 2267	23.04.2002 - 15:00 naja wie wärs mit nem netzwerksniffer ( etheral z.b. ) die meisten pwds werden ja leider plain übertragen. aber verrat uns dochmal für was du das brauchst. willst dagach a leet hax0r sein ?
wintermute Bloody Newbie Registered: Mar 2002 Location: /dev/random Posts: 43	23.04.2002 - 15:31 ja - kann man entweder: switch hat mgmt port an dem alle packets gespiegelt werden oder switch spricht rmon2 und is monitoringfähig oder: dsniff ist dein freund http://www.monkey.org/~dugsong/dsniff/ Zitat This is how it works: The attacker's system sends out a forged ARP packet to the target system, telling it that its default gateway has changed to the attacker's system. This way, whenever the target system sends traffic on the network, it will send it to the attacker's system first, which then forwards the packet on to its original destination as if nothing ever happened. frag aber vorher deinen admin @edit: ethereal bringt im geswitchten nw nix da du dort - und das is ja der sinn - nur pakete siehst die an _dein_ system gehen (src\|dst). wenn du allerdings incoming \| outgoing traffic am selben system monitoren willst dann geht's - wenn du ein anderes sys im LAN beschnüffeln willst dann nit -> s.o. Bearbeitet von wintermute am 23.04.2002, 15:40
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	23.04.2002 - 16:26 das dsniff aus dem oberen post kenn ich nicht. mag sein, dass das funktioniert, aber garantieren kann man es sicher nicht. die andere methode, die ich kenn, ist arp flooding. damit kann man auch den verkehr am switch umleiten. es werden allerdings auch viele pakete verloren gehen, vermute ich.
wintermute Bloody Newbie Registered: Mar 2002 Location: /dev/random Posts: 43	23.04.2002 - 18:05 dsniff is ein "rundum sorglos" paket - u.a. is auch ein arp-flooding modul dabei. ferner spezialisierte passwortsammler für std apps und auch spezialitäten wie ssh und ssl interception ob flooding geht oder nicht hängt vor allem von der performance des switches und der box von der du ansetzt ab - ob spoofing geht hängt davon ab ob eine layer-2 security implementiert wurde oder nicht
irreversible oberspammer Registered: Mar 2001 Location: 2524 Posts: 1058	23.04.2002 - 18:57 thx 4 replys ... hab den thread schon total abgschrieben ghabt, deshalb so lang kein post! das tool hört sich zwar gut an, aber ich bräuchat was für windoof ... am laptop linux noch dazu aufsetzten geht sich leida net aus bzw. wintermute kennst eine brauchbare win version davon? des direkt am switch anhängen derf i sicher net ... es geht ja ums testen vom netzwerk und da kleine hax0r bricht auch nicht den kasten auf und hängt sich direkt am switch thx auf jeden fall, irreversible
irreversible oberspammer Registered: Mar 2001 Location: 2524 Posts: 1058	23.04.2002 - 18:58 Zitat von tintifax naja wie wärs mit nem netzwerksniffer ( etheral z.b. ) gayt net ... warum hat eh schon wintermute erklärt ... des geht nur in an nw mit an hub, etc. mfg
funka Legend ex-prophet(down below) Registered: Sep 2000 Location: Vienna / SF Posts: 6131	23.04.2002 - 19:03 der windows port von dsniff ist mehr als schwach imho mein vorschlag: linux-boot cd und dsniff auf diskette

geswitchtes netzwerk sniffen

Forum Index > Hardware > Peripherie > Netzwerktechnik

irreversible

Maxx666

tintifax

wintermute

Ringding

wintermute

irreversible

irreversible

funka