Paket abfangen und nachbauen

#1 Es geht um folgende fiktive Idee: Nehmen wir an, in dem Intercafe, der Schule oder dem Verein blablabla sind Wächterkarten installiert z. B. die von Dr. Kaiser Systemhaus GmbH. Jetzt bieten diese Karten ja u. A. die Funktion Bildschirme abzuschalten, Rechner herunterzufahren etc. Wenn dies geschieht wird, so muss ja ein Paket vom zentralen "Steuerpc" über das Lan-Netz an den PC gesendet werden der heruntergefahren, gesperrt, ... werden soll. Wäre es also möglich, das entsprechende Paket abzufangen, eine Software zu schreiben die ein gleiches Paket an alle Clienten im Netzwerk sendet und diese somit herunterfährt bzw. sperrt oder sonst etwas tut?

Mfg
Kensight

#2 Naja ich bin mir nicht ganz sicher aber ich würde dann wohl davon ausgehen das diese Tech auf Hardware-Ebene arbeitet und daher ist da wohl nichts zu machen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Gerade deshalb vermute ich ja, dass es der Karte ziemlich egal ist von wem das Paket kommt und sie eher darauf programmiert ist, den Inhalt richtig zu erkennen und zu wissen was zu tun ist.

#4 Und Gerade deswegen wirste es nicht schaffen ein Paket abzufangen weil es schon längst verarbeitet (gefiltert) ist.
Was das generieren der Pakete angeht, ich würde mal davon ausgehen das es da irgendeine proparitäre Spezifikation gibt.. wie willst du herausfinden wie so ein Paket auszusehen hat?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Ich kann hier auch nur spekulieren weil ich es ja nicht selbst testen kann, aber wenn man Wireshark nimmt was ja bekanntermaßen Winpcap für das Abfangen benutzt, welches wiederum mit Zugriff auf Low-level Ebene arbeitet, so hätte man doch gute Chancen an das Paket heran zu kommen. Danach ist es ein "leichtes" in das Paket hineinzuschauen und es nachzubauen. Oder irre ich mich da?

#6

Zitat

...Wireshark nimmt was ja bekanntermaßen Winpcap für das Abfangen benutzt, welches wiederum mit Zugriff auf Low-level Ebene arbeitet, so hätte man doch gute Chancen an das Paket heran zu kommen.

Von mir aus, Low-Level eg. Treiber - trotzdem nicht ausreichend wenn spezielle Hardware auf Hardwar-Ebene filtert.
Wenn du es testen kannst können wir uns gerne den Inhalt des dumps anschauen...

Denke aber mal die beste Möglichkeit wäre es den traffic abzuhören bevor er die Zielmaschine erreicht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Ob man das Wireshark Dump noch gespeichert bekommt wenn der PC gesperrt wird oder runterfährt? Ich habe da ja so meine Zweifel. Zumal ich nicht glaube das ein zu steuernder PC auf ein entsprechendes Paket von irgendeinem PC reagiert, da wird sicher hinterlegt sein welcher PC der Kontrollrechner ist.

Fällt für mich unter Spielerei, aber kuck dir ruhig mal an was in Wireshark so drin steht. Erfahrungsgemäß wirst du da erstmal von tausenden an Daten völlig erschlagen, wenn man nicht weiß wonach man suchen muss.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#8 Wie gesagt kann ich es nicht testen, zumindestens jetzt nicht und vermutlich auch nicht in naher Zukunft.

Zitat

Zumal ich nicht glaube das ein zu steuernder PC auf ein entsprechendes Paket von irgendeinem PC reagiert, da wird sicher hinterlegt sein welcher PC der Kontrollrechner ist.

Ich glaube nicht dass dieser Fakt einen realen Angreifer wirklich aufhalten würde, welcher ja Mac- und Ip-Spoofing einsetzen könnte und sich somit als "Kontrollrechner" ausgeben.

Ps: Ich habe gerade gelesen dass die Kommunikation auf Port 1234 Udp geschieht.

#9 Wenn du den Port hast ist das ja schon einmal was. Aber leider noch nicht viel.

Zitat

Wäre es also möglich, das entsprechende Paket abzufangen, eine Software zu schreiben die ein gleiches Paket an alle Clienten im Netzwerk sendet und diese somit herunterfährt bzw. sperrt oder sonst etwas tut?

Kannst vielleicht auch einfach die Software kaufen? Das nachzubauen wird jedenfalls schon vermutlich sehr aufwändig, wenn nicht sogar unmöglich, falls die Kommunikation verschlüsselt läuft, was man ja vermuten kann.
Wenn du es nicht selber testen kannst, dann ist das Gespräch ja eh dahingehend eh obsolet.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#10

Zitat

Kensight postete
Ich glaube nicht dass dieser Fakt einen realen Angreifer wirklich aufhalten würde, welcher ja Mac- und Ip-Spoofing einsetzen könnte und sich somit als "Kontrollrechner" ausgeben.

Ich glaube nicht das es in der Schule, einem Verein oder Internetcafe "reale Angreifer" gibt

Diese "PC-Wächter" sind dazu da PC Systeme vor Schindluder (egal welcher Art} zu schützen und rudimentäre Kontrollfunktionen zu bieten. Der Aufwand diese Systeme zu manipulieren steht in keiner Relation zum Nutzen, von dem Ärger den man sich damit einhandeln kann mal ganz abgesehen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11

Zitat

von dem Ärger den man sich damit einhandeln kann mal ganz abgesehen.

Und genau aus diesem Grund habe ich nicht vor es auszutesten. Es heißt bloß häufig, dass diese Technik "unfehlbar" sei und ich dachte dies ist wiederlegbar, denn die absolute Sicheit gibt es ja für gewöhnlich nicht und ich glaube das ist auch gut so.

Mfg