Ethisches Hacken - Schnüffeln
Beim Sniffing werden alle Pakete, die durch ein bestimmtes Netzwerk gesendet werden, mithilfe von Sniffing-Tools überwacht und erfasst. Es ist eine Form des „Abhörens von Telefonkabeln“ und des Kennenlernens des Gesprächs. Es wird auch genanntwiretapping auf die Computernetzwerke angewendet.
Es gibt so viele Möglichkeiten, dass einer ihrer Mitarbeiter den gesamten Datenverkehr des Netzwerks abhören kann, wenn eine Reihe von Enterprise-Switch-Ports geöffnet ist. Jeder am selben physischen Standort kann sich über ein Ethernet-Kabel an das Netzwerk anschließen oder eine drahtlose Verbindung zu diesem Netzwerk herstellen und den gesamten Datenverkehr abhören.
Mit anderen Worten, mit Sniffing können Sie alle Arten von Verkehr sehen, sowohl geschützt als auch ungeschützt. Unter den richtigen Bedingungen und mit den richtigen Protokollen kann eine angreifende Partei möglicherweise Informationen sammeln, die für weitere Angriffe verwendet werden können, oder andere Probleme für den Netzwerk- oder Systembesitzer verursachen.
Was kann man schnüffeln?
Man kann die folgenden vertraulichen Informationen aus einem Netzwerk abrufen -
- E-Mail-Verkehr
- FTP-Passwörter
- Web-Traffics
- Telnet-Passwörter
- Router-Konfiguration
- Chat-Sitzungen
- DNS-Verkehr
Wie es funktioniert
Ein Sniffer schaltet normalerweise die Netzwerkkarte des Systems auf promiscuous mode so dass es alle auf seinem Segment übertragenen Daten abhört.
Der Promiscuous-Modus bezieht sich auf die einzigartige Art der Ethernet-Hardware, insbesondere auf Netzwerkschnittstellenkarten (NICs), mit der eine Netzwerkkarte den gesamten Datenverkehr im Netzwerk empfangen kann, auch wenn er nicht an diese Netzwerkkarte adressiert ist. Standardmäßig ignoriert eine Netzwerkkarte den gesamten Datenverkehr, der nicht an sie adressiert ist. Dazu wird die Zieladresse des Ethernet-Pakets mit der Hardwareadresse (auch bekannt als MAC) des Geräts verglichen. Während dies für das Netzwerk durchaus sinnvoll ist, macht es der nicht promiskuitive Modus schwierig, Netzwerküberwachungs- und -analysesoftware zur Diagnose von Konnektivitätsproblemen oder zur Verkehrsabrechnung zu verwenden.
Ein Sniffer kann den gesamten Datenverkehr zu einem Computer über die Netzwerkkarte kontinuierlich überwachen, indem er die in den Datenpaketen eingekapselten Informationen decodiert.
Arten des Schnüffelns
Das Schnüffeln kann entweder aktiv oder passiv sein.
Passives Schnüffeln
Beim passiven Schnüffeln ist der Verkehr gesperrt, wird aber in keiner Weise verändert. Passives Schnüffeln erlaubt nur das Hören. Es funktioniert mit Hub-Geräten. Auf einem Hub-Gerät wird der Datenverkehr an alle Ports gesendet. In einem Netzwerk, das Hubs zum Verbinden von Systemen verwendet, können alle Hosts im Netzwerk den Datenverkehr sehen. Daher kann ein Angreifer den durchlaufenden Datenverkehr leicht erfassen.
Die gute Nachricht ist, dass Hubs heutzutage fast veraltet sind. Die meisten modernen Netzwerke verwenden Switches. Daher ist passives Schnüffeln nicht effektiver.
Aktives Schnüffeln
Beim aktiven Schnüffeln wird der Verkehr nicht nur gesperrt und überwacht, sondern kann auch auf irgendeine Weise geändert werden, die durch den Angriff bestimmt wird. Aktives Sniffing wird zum Sniffing eines Switch-basierten Netzwerks verwendet. Es beinhaltet das Injizierenaddress resolution packets (ARP) in ein Zielnetzwerk, um den Switch zu überfluten content addressable memory(CAM) Tabelle. CAM verfolgt, welcher Host mit welchem Port verbunden ist.
Es folgen die aktiven Schnüffeltechniken -
- MAC-Überschwemmung
- DHCP-Angriffe
- DNS-Vergiftung
- Spoofing-Angriffe
- ARP-Vergiftung
Betroffene Protokolle
Protokolle wie das bewährte TCP / IP wurden nie unter Sicherheitsaspekten entwickelt und bieten daher potenziellen Eindringlingen keinen großen Widerstand. Mehrere Regeln eignen sich zum einfachen Schnüffeln -
HTTP - Es wird verwendet, um Informationen im Klartext ohne Verschlüsselung und damit ein echtes Ziel zu senden.
SMTP(Simple Mail Transfer Protocol) - SMTP wird grundsätzlich für die Übertragung von E-Mails verwendet. Dieses Protokoll ist effizient, enthält jedoch keinen Schutz gegen Schnüffeln.
NNTP (Network News Transfer Protocol) - Es wird für alle Arten der Kommunikation verwendet. Der Hauptnachteil besteht jedoch darin, dass Daten und sogar Kennwörter als Klartext über das Netzwerk gesendet werden.
POP(Post Office Protocol) - POP wird ausschließlich zum Empfangen von E-Mails von den Servern verwendet. Dieses Protokoll enthält keinen Schutz gegen Schnüffeln, da es eingeklemmt werden kann.
FTP(File Transfer Protocol) - FTP wird zum Senden und Empfangen von Dateien verwendet, bietet jedoch keine Sicherheitsfunktionen. Alle Daten werden als Klartext gesendet, der leicht abgerufen werden kann.
IMAP (Internet Message Access Protocol) - IMAP ist in seinen Funktionen mit SMTP identisch, jedoch sehr anfällig für Sniffing.
Telnet - Telnet sendet alles (Benutzernamen, Passwörter, Tastenanschläge) als Klartext über das Netzwerk und kann daher leicht beschnüffelt werden.
Sniffer sind nicht die dummen Dienstprogramme, mit denen Sie nur Live-Verkehr anzeigen können. Wenn Sie wirklich jedes Paket analysieren möchten, speichern Sie die Erfassung und überprüfen Sie sie, wann immer es die Zeit erlaubt.
Hardware-Protokoll-Analysatoren
Bevor wir auf weitere Details zu Schnüfflern eingehen, ist es wichtig, dass wir darüber diskutieren hardware protocol analyzers. Diese Geräte werden auf Hardwareebene an das Netzwerk angeschlossen und können den Datenverkehr überwachen, ohne ihn zu manipulieren.
Hardwareprotokollanalysatoren werden verwendet, um böswilligen Netzwerkverkehr zu überwachen und zu identifizieren, der durch im System installierte Hacking-Software erzeugt wird.
Sie erfassen ein Datenpaket, dekodieren es und analysieren seinen Inhalt nach bestimmten Regeln.
Mit Hardwareprotokollanalysatoren können Angreifer einzelne Datenbytes jedes Pakets sehen, das durch das Kabel geleitet wird.
Diese Hardwaregeräte sind für die meisten ethischen Hacker aufgrund ihrer enormen Kosten in vielen Fällen nicht ohne weiteres verfügbar.
Rechtmäßige Überwachung
Lawful Interception (LI) ist definiert als gesetzlich sanktionierter Zugriff auf Kommunikationsnetzdaten wie Telefonanrufe oder E-Mail-Nachrichten. LI muss immer eine rechtmäßige Behörde zum Zweck der Analyse oder des Beweises verfolgen. Daher ist LI ein Sicherheitsprozess, bei dem ein Netzbetreiber oder Dienstanbieter Strafverfolgungsbeamten die Erlaubnis erteilt, auf private Mitteilungen von Einzelpersonen oder Organisationen zuzugreifen.
Fast alle Länder haben Gesetze zur Regelung rechtmäßiger Abhörverfahren ausgearbeitet und erlassen. Standardisierungsgruppen erstellen LI-Technologiespezifikationen. In der Regel werden LI-Aktivitäten zum Schutz der Infrastruktur und der Cybersicherheit durchgeführt. Betreiber privater Netzwerkinfrastrukturen können jedoch LI-Funktionen in ihren eigenen Netzwerken als inhärentes Recht beibehalten, sofern nichts anderes verboten ist.
LI war früher bekannt als wiretapping und existiert seit Beginn der elektronischen Kommunikation.