by:

Die Angriffsformen sind gefährlich und können erheblichen Schaden anrichten, um ihnen effizient begegnen zu können ist es notwendig ihre Funktionsweise zu verstehen.

Anmerkung:

Alle vorgestellten Techniken sind ausschließlich zu edukativen Zwecken gedacht! Die Anwendung dieser Angriffe in öffentlichen Netzwerken ist ILLEGAL.

Bedenkt auch, dass in manchen Ländern schon das reine Beschaffen der Software strafbar ist (siehe sogenannter Hackerparagraph § 202c).

Was ist eine Man in the Middle Attacke (MitM) ?

Eine MitM Attacke bedeutet, dass man seinem Opfer vortäuscht, das eigentliche Ziel zu sein.

In der Praxis sendet der Angreifer dem Opfer gefälschte ARP Pakete indem er vorgibt, der Gatewayrechner zu sein. Ab diesem Zeitpunkt werden alle Anfragen vom Opfer an den Angreifer gesendet, man spricht auch von ARP Spoofing. Der Angreifer kann jetzt die Pakete weiterleiten und manipulieren. Natürlich ist es nun möglich alle in Klartext gesendeten Passwörter ohne große Mühe mitzulesen, sowie gefälschte Antworten an das Opfer zu senden.

Typisches Angriffsszenario

Der Angreifer führt eine MitM Attacke durch und leitet mit Hilfe von DNS Spoofing das Opfer auf eine gefälschte Webseite weiter. Diese entspricht rein optisch zumeist der eigentlichen Zielseite des Opfers. Hier hat der Angreifer jedoch die Möglichkeit die gefälschte Webseite so zu manipulieren, dass Passwörter und andere Eingaben gespeichert werden. Das Opfer bleibt in dem Glauben, dass alles in Ordnung ist und lediglich der Service vorübergehend nicht verfügbar ist oder das Passwort nicht mehr gültig sei...

Der Angriff

Ich persönlich empfehle Ettercap (0.6.b), da es Plattform unabhängig ist und eine Reihe von nützlichen Plugins mitliefert.

Wir editieren für unser DNS Spoofing zuerst die etter.dns Datei, die nach der Default- Installation im Verzeichnis /usr/local/share/ettercap zu finden ist.

78.41.112.52 *

Bei diesem Eintrag werden alle DNS Anfragen mit der IP 78.41.112.52 beantwortet.

Es ist natürlich auch möglich einzelne Hostnamen einzutragen:

78.41.112.52 microsoft.com

Nun können wir Ettercap starten, das Gateway mit der Entertaste auswählen, die a- Taste aktiviert das ARP Spoofing und das Plugin können wir mit p auswählen und aktivieren.

Bitte beachte, dass du als Angreifer nicht von der DNS Attacke betroffen bist, suche dir daher zum Testen und Überprüfen des Angriffs einen anderen Client Rechner in deinem lokalen Netzwerk.

Prävention

Eine gut gemachte MitM Attacke ist für den Laien nicht erkennbar und selbst für Leute, die sich damit auskennen, oft nicht leicht zu bemerken. Prävention ist daher eine wichtige Maßnahme.

Eine einfache Form der Prävention ist beispielsweise seine Daten zu verschlüsseln, was man bei sensiblen Daten prinzipiell immer machen sollte.

Der Chaos Computer Club hat allerdings schon bewiesen, dass auch verschlüsselte Webseiten mit SSL nicht unbedingt sicher sind.

Eine andere effektive Form der Prävention wäre z.B. statisches Routing, was allerdings bei größeren Netzwerken viel Administrationsaufwand bedeutet.

Desweiteren gibt es sogenante IDS (Intrusion Detection System) Systeme wie Snort, die solche Attacken erkennnen und gegebenenfalls darauf reagieren können.

[UPDATE]

Nachdem die Nachfrage nach Prävention hoch ist, möchte ich hier noch näher darauf eingehen.

Unter Windows gibt es das Tool Xarp2, welches Manipulation des ARP Caches erkennt. Man kann eine kostenlose Testversion hier herunterladen:

http://www.chrismc.de/development/xarp/index.html

Ein kostenloses Tool unter Linux wäre Arpwatch, das ebenfalls die Übersetzung Hardware zu IP Adresse überwacht und gegebenfalls den Administrator informiert:

http://www-nrg.ee.lbl.gov/ Download

Ich habe auch von dem Lösungsansatz gehört, dass jeder User in einem eigenen VLAN ist.

Ein Warnhinweis in eigener Sache:

Ich habe solche Attacken mit Erfolg in vielen Netzwerken getestet, dabei war mir die gesamte Tragweite oft nicht klar. Zum Beispiel bin ich nach einer erfolgreichen MitM- Attacke auf über 400 Rechner drauf gekommen, dass im Nachbarzimmer atomarer Abfall gelagert wurde... Ich gehe zwar davon aus, dass dieser gesondert gesichert ist, dennoch waren mir am Beginn des Angriffes die eventuellen Folgen nicht bewusst.

Ich bitte daher nochmals solche Angriffe nur im lokalen Netzwerk zu testen und es auch dabei zu belassen.

Ich hoffe euch hat der Beitrag gefallen und ich würde mich sehr über Feedback freuen.

Wer noch mehr Erfahren möchte kann hier weiterlesen.

Liebe Grüße

Andreas

Quellen:

http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff

http://ettercap.sourceforge.net/

http://www.monkey.org/~dugsong/dsniff/

http://www.snort.org



Name:
hi, also erstmal danke für euer feedback!!!
Freue mich sehr über Verbesserungsvorschläge und Kritik.
Also ich habe den part Prävention mal etwas erweitert, wenn jemand noch andere nützliche Tools kennt, kann er gerne sein Wissen mit uns teilen :)

lg
andreas

Name:
nice artikel, mich wuerde interessieren wie man sich wirklich davor schuetzen kann... (ich schliesze mich dem sven an)...


Name:
interessante fakten. sicherheit ist ja immer schon ansichtssache gewesen und wenn man einen admin gut genug bezahlt bekommt man sicherlich halbwegs sichere netzwerke ... allerdings hat man dann eine sicherheitslücke mehr (den admin - wenn der kündigt hat man den Arsch offen). Also am besten alles in ein internes netzwerk stellen und vom Internet abstecken. dann ist man sicher - und mal ehrlich, wer braucht schon internet?

Name:
danke für dein kommentar sven.
ich werde gerne noch näher auf präventions massnahmen eingehen.

lg
andreas

Name:
danke für diesen kurzen Einblick

könnte man dieses Thema eventuell noch witerführen und Möglichkeiten aufzeigen wie man sich vor so etwas schützen kann ? ;)


so long Sven