ARP-Tabelle von Windows-Clients manipulieren |
||
---|---|---|
#0
| ||
21.03.2004, 23:54
Member
Beiträge: 46 |
||
|
||
22.03.2004, 07:30
Ehrenmitglied
Beiträge: 2283 |
#2
Ah ja, also die Dresdner Studenten :-) - Frag doch mal Dr.-Ing. Andriy Luntovskyy oder Dr.rer.nat. Dietbert Gütter - aber die wissens nicht :-) Prof. Schill würde ich das schon eher zutrauen.
Also prinzipiell ist das ganz einfach und funktioniert bei nahezu allen Systemen, egal welches BS oder ob nun Router, Switch oder sonstwas. Es gibt ja das ARP Protokolle (Adress Resolution Protocol). Man schickt also ein critious arp Paket mit dem Inhalt, daß die IP Adresse 192.168.10.250 (Gateway) nun eine neue IP Adresse hat. Das empfangen alle Stationen und tragen das in ihre lokale ARP Tabelle ein. Ist der Router nun dumm und merkt das nicht, dann reicht das eine Packet in regelmäßigen Abständen. Merkt der Router das und sendet seinerseits ein ARP Paket um sich die IP zurückzuholen, so muß man das öfters machen. Das funktioniert wunderbar. Genutz wird es zum Beispiel auch für das Failover bei manchen Servern/Routern. R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
22.03.2004, 10:15
Member
Themenstarter Beiträge: 46 |
#3
Hi Robert, erstmal vielen Dank für die Antwort.
Zitat Robert posteteHm, genau das würde ich auch denken Hat es einen Grund, dass Du die dresdner Profs so gut kennst? Zitat Also prinzipiell ist das ganz einfach und funktioniert bei nahezu allen Systemen, egal welches BS oder ob nun Router, Switch oder sonstwas.Hm, also bei der Vorführung hat der Vortragende gesagt, dass das nur auf Windows-basierten OSes läuft, weil man die Arp-Einträge nicht wirklich statisch setzen kann. Bei Linux kann man diese wohl statisch setzen, so dass die Arp-Tabelle von aussen nicht verändert werden kann. Bei Windows heisst "statisch" allerdings nicht, dass sie nicht verändert werden kann sondern dass der Eintrag im Speicher bleibt. Deshalb ist es so einfach, diese Einträge zu manipulieren. Zitat Es gibt ja das ARP Protokolle (Adress Resolution Protocol)[...] so muß man das öfters machen.Aha, jetzt habe ich es auch verstanden Dann ist das bei unsicheren Maschinen letztlich ein Kampf zwischen dem Angreifer und dem echten Gateway, wer schneller senden kann? So far... Matthias __________ Hier könnte Ihre Signatur stehen |
|
|
||
22.03.2004, 20:32
Ehrenmitglied
Beiträge: 2283 |
#4
Zitat Matneu posteteIch habe an der Berufsakdamie Dresden studiert. Dabei auch das zweifelhafte Vergnügen bei Gütter und Andrej Vorlesungen zu haben. Also, mal unter uns Klosterbrüdern, wenn ich das alles geglaubt hätte, was die erzählt haben, dann könnt ich jetzt nur bei T-Systems arbeiten. Zitat Hm, also bei der Vorführung hat der Vortragende gesagt, dass das nur auf Windows-basierten OSes läuft, weil man die Arp-Einträge nicht wirklich statisch setzen kann. Bei Linux kann man diese wohl statisch setzen, so dass die Arp-Tabelle von aussen nicht verändert werden kann. Bei Windows heisst "statisch" allerdings nicht, dass sie nicht verändert werden kann sondern dass der Eintrag im Speicher bleibt. Deshalb ist es so einfach, diese Einträge zu manipulieren.Kann schon sein, jedoch frag ich mir dann wie das in der Prxis funktionieren soll. Stell Dir vor Dein Standardgateway besteht aus 2 Pixen. Unter Umständen kann man die kein OSPF quatschen lassen, so funktioniert der Failover nur so, daß bei Ausfall der aktiven Pix die IP Adresse übernimmt. Dürfte also nach Theorie des netten Herren nicht funktionieren. Wer weiß Zitat Dann ist das bei unsicheren Maschinen letztlich ein Kampf zwischen dem Angreifer und dem echten Gateway, wer schneller senden kann?Unter Umständen kann das passieren. Robert __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
ich war am Freitag auf der CeBit. Am Stand von f-secure wurde das Sniffen in geswitchten Netzen praktisch vorgeführt. Dazu hat der Angreifer (*nix) die Arp-Tabelle des Opfers (Win*) von aussen so manipuliert, dass das Standard-Gateway MAC-Adressen-mässig ein anderes war, nämlich das des Angreifers. So wurden alle Pakete an den Angreifer-Rechner geschickt.
Damit nicht auffällt, dass gesnifft wird wurden die Pakete auf dem Angreiferrechner dann an das eigentliche Ziel weitergeleitet. Das ist mir auch alles klar.
Doch wie ist es möglich, die ARP-Tabelle von Windows-Clients so zu manipulieren?
Ich weiss, dass sowas hier nicht allzu gerne gesehen wird, weil es sehr gut ausgenutzt werden kann. Mich interessiert es allerdings aus Studentensicht
Falls also jemand Bedenken hat kann er auch gerne mailen: mn024538 [at] inf [dot] tu-dresden [dot] de
Besten Dank im voraus für die Antworten
Matthias
__________
Hier könnte Ihre Signatur stehen