Sie sind auf Seite 1von 18

Fachhochschule Kln Fak. 10 Inst.

fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Projektaufgabe 4 Netzberwachung mit Ethereal

Seite 2 2 3 3 6 8 9 15 18

Inhalt Einleitung Konfiguration Struktur eines Ethernet-Frames Sehr kleine und sehr groe ICMP-Pakete Struktur eines IP-Pakets Struktur eines UDP-Pakets POP3-Verbindungen FTP-Verbindungen (Mitschneiden von Passwrtern mit Dsniff) Zusammenfassung
Seite 1

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Einleitung Mit Hilfe der Analysewerkzeuge ethereal, tcpdump und dsniff sollte der Datenverkehr in lokalen Netzen (Labornetz) aufgezeichnet und untersucht werden. Die dafr ntige Testumgebung sollte erarbeitet, realisiert und dokumentiert werden. Speziell wurden dann folgende Analysen durchgefhrt: - Struktur eines Ethernet-Frames - Sehr kleine und sehr groe ICMP-Pakete - Struktur eines IP-Pakets - Struktur eines UDP-Pakets - POP3-Verbindungen - FTP-Verbindungen (Mitschneiden von Passwrtern mit Dsniff) Konfiguration Auf Grund von Sicherheitsaspekten simulierten wir mit Hilfe von VMware ein LinuxSystem mit dem wir unsere Analysen durchfhren konnten, da wir hierbei root-Rechte bentigten. Als erstes wurden die fr unsere Analyse ntigen Pakete installiert. Nach der Installation erfolgte ausgiebiges Testen und Erforschen der zu benutzenden Programme. Ferner haben wir unser VMware-Image auf einen Laptop kopiert, um unabhngig von den Labor-ffnungszeiten arbeiten zu knnen. Auerdem stellte sich recht schnell heraus, dass einige der geforderten Analysen wegen technischer Gegebenheiten im Labornetz nicht durchfhrbar waren. Es gab nmlich strikte Restriktionen, was den Datenverkehr nach Auen betraf. So blieb uns die Mglichkeit auf dem Laptop selbst oder direkt in der VMware Datenverkehr zu erzeugen, welchen wir analysierten. Auerdem installierten wir die Windows-Version von Ethereal, um auch unabhngig von der VMware agieren zu knnen. Aufgrund des gleichen Funktionsumfangs von TCPdump und Ethereal konnten wir alle geforderten Analysen mit beiden Programmen durchfhren. Wir konnten somit TCPdump zur Aufzeichnung und Filterung der Pakete nutzen und bereiteten diese mittels Ethereal grafisch ansprechend und bersichtlich auf. Zu den Unterschieden zwischen beiden Tools lsst sich sagen, dass sich diese Grundstzlich auf die Usability und Benutzerfreundlichkeit beschrnkt: Dadurch, dass TCPdump Kommandozeilenbasiert arbeitet, ist es zwar weniger intuitiv und benutzerfreundlich in der Bedienung, aber dafr schneller und portabler. Vor allem lsst es sich von jedem Rechner aus bedienen. (insbesondere wichtig in Hinblick auf Remote-Administration) Ethereal hingegen ist benutzerfreundlicher und die Auswertung kann sehr bersichtlich erfolgen. Nachfolgend die Einzelnen Analysen im Detail.

Seite 2

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

1. Struktur eines Ethernet-Frames Eine der ltesten Framestrukturen ist Ethernet II. Charakteristisches Merkmal von Ethernet II ist das Typfeld, das aus zwei Bytes im Anschluss an die Start- und Zieladressen besteht und der Unterscheidung verschiedener hherer Protokolle dient. Alle anderen Formate enthalten hier eine Lngeninformation. Die Unterscheidung der anderen Frames von einem Ethernet-II-Frame kommt dadurch zu Stande, dass dessen Typ-Nummer immer grer ist als die maximale Paketgre von 1518 Bytes (Z.B. 0800h fr IP, 8137h fr IPX, 0600h fr XNS oder 809Bh fr AppleTalk). Ein Datenpaket besteht aus 576 bis 12208 Bits und hat folgenden Aufbau: Frame Ethernet Version 2.0
Bitfolge Bitfolge 1010101010... 10101011 Preamble SFD Ethernet-Frame, min. 64 Bytes, max. 1518 Bytes 6 Byte 6 Byte 2 Dest.- Source- Byte Addr. Addr. Type min. 46 Bytes, max. 1500 Bytes Daten Inter Frame 4 Gap Byte 9,6s FCS

Die Prambel dient zur Synchronisation, sie besteht aus einer Folge von '10101010'Bytes. Der SFD hat an der letzten Stelle eine '1' (10101011). Die Lngen der einzelnen Teile (in Byte) sind in der Grafik eingetragen. Sind weniger als 46 Datenbytes zu bertragen, muss mit Fllbits ergnzt werden, um die minimale Slot-Time zu erreichen.

Destination: ist die Zieladresse. Source: die Anfrageadresse in diesem Fall Wir. Unter Address ist die Mac-Adresse der jeweiligen Netzwerkkarte zu sehen.

2. Sehr kleine und sehr groe ICMP-Pakete Das Internet Control Message Protocol (ICMP) benutzt wie TCP und UDP das Internet Protocol (IP), ist also ein Teil der Internetprotokollfamilie. Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen. Obwohl ICMP eine Ebene ber IP angeordnet ist (im OSI-Modell die so genannte Vermittlungsschicht (Network Layer)), ist es in IP integriert. Es wird von jedem Router und jedem Rechner erwartet das ICMP-Protokoll zu untersttzen. Die meisten ICMPPakete enthalten Diagnose-Informationen. Sie werden vom Router zur Quelle zurckgeschickt, wenn der Router Pakete verwirft, z. B. weil das Ziel nicht erreichbar ist, die TTL abgelaufen ist, usw. Es gilt der Grundsatz, dass ein ICMP-Paket niemals ein anderes ICMP-Paket auslst, d.h. die Tatsache, dass ein ICMP Paket nicht zugestellt werden konnte, wird nicht durch ein Weiteres signalisiert. Eine Ausnahme zu diesem
Seite 3

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Grundsatz bildet die Echo-Funktion. Echo-ICMP-Pakete werden z. B. durch das Programm Ping verschickt. ICMP-Nachrichten werden beim Versand im Datenteil von IP-Datagrammen eingekapselt. Dabei sind im IP-Header der Servicetyp immer 0 und die Protokollnummer immer 1. Sehr kleines ICMP request

groes ICMP request

Den Unterschied der gesendeten (request) Pakete zwischen sehr klein und gro erkennt man anhand der Bilder schon an der Gre Data (1 byte) zu Data (1400 byte). Anhand der Checksum sehen wir, dass die bermittlung geglckt ist (correct).

Seite 4

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Sehr kleines ICMP reply

groes ICMP reply

Wie schon beim request ist auch beim reply der Unterschied die Gre der gesendeten Daten. Bei sehr klein sind es gerade mal 1 Byte wohingegen es beim groen schon 56 Bytes sind. Anhand des [correct] bei der Checksum sehen wir das auch diesmal alle Daten bertragen wurden. Um diese Auswertung durch zu fhren, sendeten wir mehrere pings an die Adresse 64.233.183.103.

Seite 5

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Der Ethernetframe unter ICMP

Wie man anhand der Bilder gut erkennen kann, gibt es auf den ersten Blick keine Unterschiede. Allerdings erkennt man, wenn man das Ganze im Hex-Editor betrachtet, dass beim groen request wesentlich mehr Daten bermittelt werden. Das liegt daran das im kleinen request nur die wesentlichen Daten bermittelt werden und beim groen noch zustzliche Daten fr das ICMP generiert werden.

3. Struktur eines IP-Pakets Das Internet Protokoll (IP) ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll. Es ist eine (bzw. die) Implementierung der Internet-Schicht des TCP/IP-Modells bzw. der Vermittlungs-Schicht (Network Layer) des OSI-Modells. IP bildet die erste vom bertragungsmedium unabhngige Schicht der Internet-ProtokollFamilie. Das bedeutet, dass mittels IP-Adresse und Subnetzmaske (subnet mask) Computer innerhalb eines Netzwerkes in logische Einheiten, so genannte Subnetze, gruppiert werden knnen. Auf dieser Basis ist es mglich, Computer in greren Netzwerken zu adressieren und Verbindungen zu ihnen aufzubauen, da logische

Seite 6

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Adressierung die Grundlage fr Routing (Wegewahl und Weiterleitung von NetzwerkPaketen) ist. Das Internet Protokoll stellt somit die Grundlage des Internets dar.

Am Anfang des Pakets steht immer die Versionsnummer, in diesen Fall ist es die Version 4. Der Header length, gibt die Lnge des IP Headers in 32 Bit Worten ( =4 Byte) an. Die Lnge des IP-Headers ist meistens konstant 20 Byte bzw. 5*32 Bit. Wird allerdings das Option-Feld verwendet, verndert sich die IP-Header Lnge um einen variablen - von der jeweiligen Option abhngigen - Wert. Darum ist das Header Length Feld ntig, um den so erweiterten Header vom Datenteil des IP Pakets unterscheiden zu knnen. Mit seinen vier Bit kann das Header Length Feld maximal eine Lnge von 24-1 (=15) darstellen; ein IP Header kann also nicht lnger als 15*32 Bit (=60 Byte) lang sein. Das ist mitunter der Grund warum z.B. die Option Record Route auf maximal 4 Hops beschrnkt - und damit praktisch nutzlos ist. Das Differentiated Services Field: Total Length kennzeichnet die Lnge des gesamten IP Pakets, also Header plus Daten. Mit seinen sechzehn Bit kann das Total Length Feld eine maximale IP Paketlnge von 216-1 (=65.535) Bytes darstellen; das ist somit die maximale IP Paketgre. Identification, ermglicht die Zuordnung von Fragmenten zu einem Paket. Die Vergabe der ID erfolgt i.d.R. durch eine hhere Schicht (z.B. TCP) und wird als Parameter an IP bergeben. Flags: 0 1 2 D M 0 F F Bit 0: reserved, must be zero Bit 1: (DF) 0 = Paket darf fragmentiert werden, 1 = Paket darf nicht fragmentiert werden. Bit 2: (MF) 0 = dieses Fragment bildet das Ende einer Fragmentreihe, 1 = dieses Fragment hat einen Nachfolger. Fragment Offset, gibt die Position eines Fragments in Relation zum Anfang des ursprnglichen (unfragmentierten) Pakets an. Mit Hilfe des Fragment Offset kann der Empfnger alle zu einem Paket gehrenden Fragmente (identifizierbar durch den
Seite 7

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

gemeinsamen Wert im Identification Feld) in die richtige Reihenfolge setzen um daraus das ursprngliche Paket zurck zu gewinnen. Da das Fragment Offset 13 Bit lang ist und jede Einheit 8 Byte darstellt, knnen IP Pakete jeglicher Gre fragmentiert werden: 213 * 8 Byte = 8192 * 8 = 65536 = max. Total Length Time to Live (TTL), Werte: min=0, max=255 (Einheit: 'Sekunden') Ein Zhlerfeld das pro passiertem Router um mind. 1 dekrementiert wird. Empfngt ein Router ein Paket mit einer TTL=0, verwirft er es. Protocol, in unserem Fall ICMP, in IPv4 kennzeichnet dieses Feld das nach dem IP Header folgende, nchst hhere Protokoll. Die zugewiesenen Protokollnummern[ EX ] werden von der IANA verwaltet. Header Checksum, enthlt eine Prfsumme, die nur den IP Header auf Fehler berprft. Wird ein Paket geroutet, verndert sich die TTL und die Header Checksum mu neu berechnet werden. Source Address, wird durch den Router nicht verndert und ist die Start-Adresse. Destination Address, ist die Ziel-Adresse. 4. Struktur eines UDP-Pakets Das User Datagram Protocol (Abk. UDP) ist ein minimales, verbindungsloses Netzprotokoll das zur Transportschicht der Internetprotokollfamilie gehrt. Aufgabe von UDP ist es, Daten, die ber das Internet bertragen werden, der richtigen Anwendung zukommen zu lassen. Die Entwicklung von UDP begann 1977, als man fr die bertragung von Sprache ein einfacheres Protokoll bentigte als das bisherige verbindungsorientierte TCP. Es wurde ein Protokoll bentigt, das nur fr die Adressierung zustndig war, ohne die Datenbertragung zu sichern, da dies zu Verzgerungen bei der Sprachbertragung fhren wrde. In diesem Versuch verwendeten wir den Webbrowser Mozilla und die URL www.google.de um zu unseren Ergebnissen zu gelangen.

Da vor bertragungsbeginn nicht erst eine Verbindung aufgebaut werden muss, knnen die Hosts schneller mit dem Datenaustausch beginnen. Dies fllt vor allem bei Anwendungen ins Gewicht, bei denen nur kleine Datenmengen ausgetauscht werden mssen. Einfache Frage-Antwort-Protokolle wie das Domain Name System verwenden UDP um die Netzwerkbelastung gering zu halten und damit den Datendurchsatz zu erhhen. Ein Drei-Wege-Handshake wie bei TCP fr den Aufbau der Verbindung wrde unntigen Overhead erzeugen. 1. Auflsung der Adresse www.google.de durch das DNS Protokol. (UDP) 2. Antwort vom Server von www.google.de wiederum ber das DNS Protokol (UDP) 3. TCP 4. TCP
Seite 8

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

5. 6. 7. 8.

Verbinden mit der Website von www.google.de (http) TCP Aufbau der Internetseite. (http) TCP

Auf diesem Bild sieht man einmal unseren verwendeten Port (1038) und den des Ziels (53). Anhand des Werts [correct] der Checksum sieht man, dass die bertragung erfolgreich war. 5. POP3-Verbindungen Bei POP3 (Post Office Protocol Version 3) handelt es sich um ein sehr bekanntes bertragungsprotokoll, welches E-Mails von einem E-Mail-Server abholen kann. Standardmig luft das Protokoll ber Port 110 und die Steuerung der Datenbertragung erfolgt durch ASCII-Kommandos. POP3 ist ein sehr einfaches Protokoll und erlaubt nur Abholen und Lschen von EMails. Weitere Funktionalitten darber hinaus beherrscht dagegen erst IMAP. Hier eine bersicht der wichtigsten Kommandos: Befehl USER username PASS password STAT RETR n DELE n LAST LIST [n] RSET TOP n 1 QUIT Funktion Der Account- oder Username des Benutzers Das Passwort des Benutzers Gibt die Anzahl ungelesener Nachrichten und ihre Gre in Byte aus Empfngt Nachricht n Lscht Nachricht n Gibt die Nummer der zuletzt im Zugriff befindlichen Nachricht aus Gibt die Gre von Nachricht n bzw. allen Nachrichten aus Hebt die Lschung aller Nachrichten auf (undelete) und setzt den Nachrichtenzeiger auf 1 Gibt die Header und die 1. Zeile von Nachricht n aus Beenden der POP3-Session

Fr die Untersuchung der POP3-Verbindung nutzten wir einen alten nicht mehr benutzten Email-Account und das Programm Microsoft Outlook. a. ARP-Anfrage Die ARP-Anfrage dient dazu die IP-Adresse in eine MAC-Adresse aufzulsen und den Empfnger zu finden. Die ARP-Anfrage kann auch fehlen, da die IP-Adresse sich im ARP-Cache befinden kann. Mchte man trotzdem eine provozieren kann man den ARPCache lschen und dann wird eine neue ARP-Anfrage gesendet. ARP wird als Broadcast gesendet:

Seite 9

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

b. DNS-Request und Antwort des Name Servers (Da wir trotz mehrerer Versuche leider keine DNS-Anfrage bei unserem Mailserver erhielten, probierten wir einen anderen aus). Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Hauptaufgabe ist die Auflsung von Namen, d. h. auf Namensanfragen mit der zugehrigen IP-Adresse zu antworten. Hauptschlich wird DNS zur Umsetzung von Domainnamen in IP-Adressen (forward lookup) benutzt. Dies ist vergleichbar mit einem Telefonbuch, das die Namen der Teilnehmer in ihre Telefonnummer auflst. Das DNS bietet somit eine Vereinfachung, weil Menschen sich Namen weitaus besser merken knnen als Zahlenkolonnen. Ein weiterer Vorteil ist, dass IP-Adressen etwa von Web-Servern relativ risikolos gendert werden knnen. Da Internetteilnehmer nur den (unvernderten) DNS-Namen ansprechen, bleiben ihnen nderungen der untergeordneten IP-Ebene weitestgehend verborgen. Da einem Namen auch mehrere IP-Adressen zugeordnet werden knnen, kann sogar eine rudimentre Lastverteilung (Load Balancing) realisiert werden. Die Anfrage an den DNS-Server (Request):

Die Antwort des DNS-Server (Reply/Response):

Seite 10

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Eine DNS-Anfrage (oder: DNS-Request) kann nach drei verschiedenen Verfahren beantwortet werden:

autoritativ (der Server holt die Daten aus einer lokalen Zonendatei) nicht-autoritativ o rekursiv (der Server holt die Daten von einem anderen Nameserver) o iterativ (der Server antwortet mit einem Verweis auf andere Nameserver)

Die rekursive Antwort Das Rekursionsverhalten wird durch weitere Flags bestimmt. Ein Resolver setzt im DNSRequest-Header das Recursion Desired Flag kurz RD genannt , wenn er eine rekursive Auflsung seines Requests wnscht. Der Nameserver setzt in seiner Antwort das Recursion Available Flag - RA -, wenn er grundstzlich zur Rekursion bereit ist. Nur wenn sowohl bei einem Request, als auch bei der Response diese Flags gesetzt sind, wird bzw. wurde rekursiv gearbeitet. Ansonsten unterscheiden sich autoritative und rekursive Antwort nicht.

Die iterative Antwort Eine iterative Antwort enthlt anstelle der Daten (z. B. IP-Adresse) einen oder mehrere Verweise auf andere Nameserver. Ein derartiger Verweis enthlt den Namen des anderen Servers, den Namen der Domne und - falls bekannt - IP-Adresse(n). c. Three-Way Handshake Es ist die Bezeichnung fr ein bestimmtes Verfahren, um eine in Bezug auf bertragungsverluste sichere Datenbertragung zwischen zwei Instanzen zu ermglichen. Obwohl berwiegend in der Netzwerktechnik verwendet, ist der Drei-WegeHandshake nicht auf diese beschrnkt.

(Da wir im Hochschul-WLAN-Netz arbeiteten, konnten wir leider die Antwort des Servers nicht mit aufzeichnen) Zum Vorgang an sich:
Seite 11

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Der Rechner, der die Verbindung aufbauen will, sendet dem anderen ein SYN-Paket mit einer Sequenznummer x. Die Sequenznummern sind dabei fr die Sicherstellung einer vollstndigen bertragung in der richtigen Reihenfolge und ohne Duplikate wichtig. Es handelt sich also um ein Paket, dessen SYN-Bit im Paketkopf gesetzt ist. Die StartSequenznummer ist beliebig und wird vom jeweiligen Betriebssystem festgelegt.

Die Gegenstelle empfngt das Paket und sendet in einem eigenen SYN-Paket im Gegenzug ihre Start-Sequenznummer y. Zugleich besttigt sie den Erhalt des ersten SYN-Pakets, indem sie die Sequenznummer um den Wert Eins erhht und x+1 im ACKTeil des Headers zurckschickt.

Der Client besttigt zuletzt den Erhalt des SYN/ACK-Pakets durch das Senden eines eigenen ACK-Pakets mit der Sequenznummer x+1 und dem ACK-Wert y+1. Die Verbindung ist damit aufgebaut.

Beispiel: 1. SYN-SENT RECEIVED <SEQ=100><CTL=SYN> SYN-

Seite 12

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

2. ESTABLISHED <SEQ=300><ACK=101><CTL=SYN,ACK> RECEIVED 3. ESTABLISHED <SEQ=101><ACK=301><CTL=ACK> ESTABLISHED d. bertragung des POP3-Passworts

SYN

Zuerst wird die User-ID bertragen und nachdem dies geschehen ist bekommt der Client eine Aufforderung das zu dazugehrige Passwort zu senden:

Als Antwort wird dann direkt das Passwort gesendet:

Anzumerken ist, dass dieses standardmig in Klartext bertragen wird. So lsst es sich sehr leicht abfangen:

In diesem Fall lautet das Passwort: sonnenwende. Mit Hilfe von User-ID und Passwort ist es so ein leichtes Zugriff auf das Mail-Konto zu erhalten. e. Transport der Dateninhalte Der Client sendet zuerst einen entsprechenden Befehl zum Abruf der Dateninhalte (RETR 1):

Danach liefert der Server die Antwort, in Form der Daten in Klartext:

Seite 13

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Es ist also leicht die bertragenen Mail-Inhalte in Erfahrung zu bringen. Man erkennt z.b. auf diesem Bild den genauen Absender, die Uhrzeit wann die Mail verschickt wurde und ber welchen Server dies geschah. Weiter unten folgt dann der eigentliche Text der E-Mail. Damit zeigt sich, dass POP3 im Standard-Betrieb ein sehr unsicheres Protokoll ist, welches leicht abgefangen werden kann. Es besteht aber die Mglichkeit einer Verschlsselung mit SSL/TLS. f. Abbau der Verbindung Zuerst wird von Seite des Clients ein QUIT gesendet, welches den Abbau der POP3Verbindung einleitet:

Die Antwort des Servers wird dabei nicht mitgeschnitten. Was vor allem an unserer Konfiguration (Laptop im Hochschul-WLAN-Netz) liegt. Stattdessen sieht man als nchstes direkt das [ACK]-Paket des Clients:

Nachfolgend dann ein [FIN, ACK] Paket:

Seite 14

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Prinzipiell gibt es wieder einen Drei-Wege-Handshake, welcher folgendermaen abluft: Zuerst kommt von Seite A ein [FIN]-Paket, als Antwort von Seite B ein [ACK]. Danach ein eigenes [FIN]-Paket von Seite B, welches von der Gegenseite mit einem [ACK] besttigt wird. Dies sind eigentlich Vier Wege, aber die [ACK] und [FIN]-Pakete, welche von Seite B ausgehen, werden als ein Weg gezhlt. Zudem ist auch ein verkrztes Verfahren mglich, bei dem [FIN] und [ACK] genau wie beim Verbindungsaufbau im selben Paket untergebracht werden. Fehlende Schritte in der Aufzhlung: Hierbei handelt sich um Schritte, welche zwischen An- und Abbau einer POP3Verbindung wichtig sind, aber in der Aufgabenstellung nicht weiter genannt werden. Insbesondere wre dies die bertragung der User-ID, welche insbesondere fr eine Authentifizierung des Benutzers bentigt wird:

Dies geschieht direkt vor der Anfrage nach dem dazugehrigen Passwort. Aber auch die Auflistung vorhandener Nachrichten und deren Gre ist von Bedeutung fr einen Reibungslosen Ablauf. (Befehl STAT und LIST)

Denn darauf aufbauend fordert das Mail-Programm die Mails der Reihe nach mit RETR an. 6. FTP-Verbindungen (Mitschneiden von Passwrtern mit Dsniff) Im Folgenden haben wir uns mit dem Thema des Passwort-Sniffings beschftigt. Dazu sollten wir uns auf den FTP-Server des KTDS-Labors mit unserem Benutzer und Passwort einloggen und dieses mit dem Programm dsniff abfangen. Da dies wegen verschiedener Restriktionen des KTDS-Netzwerkes nicht funktioniert hat, haben in einem eigenen Netzwerk eine FTP-Verbindung aufgebaut und mit dsniff den Benutzer und Passwort abgefangen und in einer Datei gespeichert. Um eine Nherung zur Aufgabenstellung zu erreichen, haben wir die VMWare mit dem entsprechenden DebianImage verwendet.

Seite 15

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Betrachtung des Programms dsniff:


Da dsniff ein Passwort-Sniffer ist, bietet es sich an, dieses Programm unter den Gesichtspunkten der Vertraulichkeit genauer zu betrachten. Dsniff ist eine Kollektion von Netzwerk-Tools zur berwachung und zum Eindringen in Netzwerke, welche aus folgenden Programmen besteht, deren Verwendung kurz Vorgestellt wird, wobei die Methode des ARP-Spoofings und DNS-Spoofings genauer betrachtet wird: ARP-Spoofing: ARP-Spoofing ist eine Technik, die den ARP-Cach ndert. Dies geschieht folgendermaen: Der ARP-Cache enthlt Informationen ber das Hardware-IP-Mapping. Man behlt seine Hardware-Adresse bei, gibt aber vor, dass die IP-Addresse die eines vertrauenswrdigen Hosts sei. Dies wird gleichzeitig an das Ziel und den Cache gesendet. Nun werden die Pakete vom Ziel zur eigenen Hardware-Adresse geleitet. Mit anderen Worten: Das Ziel glaube nun, man sei der vertrauenswrdige Host. Dabei kann dieser Trick schief gehen, wenn zum Beispiel intelligente Hubs oder Router passiert werden mssen. Daher funktioniert ARP-Spoofing nur unter bestimmten Bedingungen zulssig und kann selbst dann auf lokale Netzwerksegmente beschrnkt sein. Um die dennoch die Vertraulichkeit in einem Netzwerk zu wahren, gibt es Mglichkeiten ein ARP-Spoofing zu verhindern. Eine ist zum Beispiel die AdressMapping in Stein zu meieln, was wiederum andere Nachteile hat, die Paul Buis in Names and Adresses so erlutert: Viele Betriebsysteme haben jedoch Vorkehrungen dafr, die Eintrge in dem ARP-Cache statisch zu machen, so dass sie nicht alle paar Minuten ablaufen. Ich empfehle Ihnen diese Eigenschaft zur Abwehr von ARPSpoofing zu benutzen. Allerdings mssen sie dann den Cache jedes Mal manuell aktualisieren, wenn sich eine Hardware-Adresse ndert. Eine andere Abwehrmaname ist die Verwendung von ARPWATCH, welches die nderungen der IP/Ethernet-Mappings berwacht und einem bei einer nderungen eine Email schickt, so dass dies protokolliert werden kann und der Angreifer schnell erkannt wird. DNS-Spoofing: Beim DNS-Spoofing legt man den DNS-Server offen und ndert direkt die Tabellen zur Zuordnung von Hostnamen und IP-Adressen. Danach werden diese nderungen in die bersetzungstabellen-Datenbank auf dem DNS-Server geschrieben, so dass eine Auflsung eines Hostnamens eine geflschte Adresse ergibt. Zwar ist die Wahrscheinlichkeit fr einen solchen Angriff relativ gering, allerdings kann dies zu einer groen Gefhrdung der Sicherheit fhren. Daher gibt es ein paar Methoden um dennoch die Vertraulichkeit zu wahren. Wenn Sie einen der DNS-Server unter Verdacht haben sollte sie die anderen mageblichen DNS server des Netzwerks pollen. Wenn der ursprnglich betroffene Server nicht bereits seit einiger Zeit offen gelegt ist, wird es sofort Anzeichen dafr geben, dass er Opfer einer spoofing Attacke geworden ist. Andere magebliche Server werden Antwort geben , die von denen des geknackten DNS Servers abweichen. Da das pollen vielleicht nicht ausreicht (da zB der ursprnglich betroffene Server bereits seit lngerem offen liegt und die geflschten Tabellen bereits an andere DNSServer des Netzwerks weitergeleitet worden sind), gibt es zum Beispiel ein ScriptUtility namens DOC (domain obscenity control), welches das Fehlverhalten von
Seite 16

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Domains diagnostiziert, indem es Anfragen an die entsprechende Domain-NameServer aussendet und die daraufhin erfolgten Ausgaben einer Reihe von Analysen unterzieht. dsniff filesnarf macof mailsnarf msgsnarf sshmitm sshow tcpkill tcpnice urlsnarf webmitm webspy ein Passwort-Sniffer fr verschiedene Protokolle speichert ausgewhlte Dateien, aus dem NFS-Traffic berflutet das lokale Netzwerk mit zuflligen MAC-Adressen fngt Mails im lokalen Netzwerk ab und speichert sie zeichnet ausgewhlte Nachrichten von Instant-Messengers SSH Monkey-in-the-Middle. Snifft und Leitet SSH Traffic um. SSH-Traffic Analysator beendet spezielle (active) TCP-Verbindungen verlangsamt ausgewhlte (aktive) TXP-Verbindungen gibt ausgewhlte URLs aus dem gesnifften http-Traffic aus http/https monkey-in-the-middle. Transparenter Proxy sendet abgefangene URLs vom Client zum lokalen Browser

Entdecken eines Sniffers im Netzwerk


Um die Vertraulichkeit in einem Netzwerk zu gewhrleisten, ist es natrlich wichtig einen eventuell vorhandenen Sniffer im Netzwerk zu erkennen. Schicht-2: das oben beschriebene Programm arpwatch kann nderungen im ARPMapping im lokalen Netzwerk finden, welche durch arpspoof oder macof verursacht werden. Schicht-3: ein programmierbarer Sniffer wie zum Beispiel NFR kann zum einen Anomalien im Netzwerk oder zum anderen einige Effekte eines aktiven dsniff-Angriff aufdecken, wie zum Beispiel: o ICMP-Port ist unerreichbar fr den lokalen DNS-Server, als Ergebnis des dnsspoofings, welches den Wettlauf beim Antworten auf die Anfrage einer DNS-Client-Tabelle mit geflschten Daten gewinnt. o Exzessive oder out-of-window TCP RSTs oder ACK berflutungen, welche durch tcpkill oder tcpnice hervorgerufen werden. Dsniffs passive Programme knnen mit dem Programm antisniff erkannt werden, wenn dieses regulr zur baseline-network-latency verwendet wird (und man mit der dadurch produzierte Informationsflut umgehen kann)

Schutz des Netzwerks gegen Sniffer


Da es ein Sniffer oft nicht sofort erkannt werden kann, ist es wichtig sich und seine Daten vor Sniffern zu schtzen. Schicht 2: Aktivierung der Port-Security-Option eines Switches oder erzwingen von statischen ARP-Eintrgen fr jeweilige Host knnen gegen arpspoof Umleitungen helfen, wobei diese Gegenmaname uerst lstig sein kann. Schicht-3: IPSEC gepaart mit sicherem und authentisierten Name-Services (DNSSEC) kann die Umleitung durch dsnspoof und damit das triviale passive Sniffen verhindern. Unglcklicherweise ist IPSECs IKE ein aufgeblhtes Schlssel-Tausch Protokoll, welches die Pakete bzw. die Verbindung soweit aufblht, dass die Verwendung im Internet in naher Zukunft undenkbar ist. Schicht-4: Der Verbot von unsicheren Programmen, Protokollen oder Klartext-Protokollen im Netzwerk, kann den Einsatz von Sniffern verhindern oder zumindest erschweren.
Seite 17

Fachhochschule Kln Fak. 10 Inst. fr Informatik

Praktikum Kommunikationstechnik II

Stahl SS 2006

Verschlsselte Arbeitssitzungen stellen eine weitere Lsung dar, die eine gute Lsung des Problems darstellen. Daher gehen wir im folgenden nher darauf ein: Statt sich darber Sorgen zu machen, dass Daten abgefangen werden, verschlsselt man diese einfach bis hin zur Unkenntlichkeit. Die Vorteile dieser Methode liegen auf der Hand: Selbst wenn es einem Angreifer gelingen sollte die Daten innerhalb des Netzwerkes abzufangen, wird er mit diesen kaum etwas anfangen knnen. Die Nachteile sind leider schwerwiegend: Es gibt zwei hauptschliche Probleme in Bezug auf Verschlsselung; eines ist ein technisches und das andere ein menschliches Problem. Die technischen Fragen sind, ob die jeweilige Verschlsselung stark genug ist und ob diese berhaupt untersttzt wird. Zum Beispiel ist eine 40-BitVerschlsselung mglicherweise nicht ausreichend und nicht alle Programme bieten integrierte Verschlsselungsuntersttzung. Zudem sind Plattform-bergreifende Verschlsselungslsungen selten und in der Regel nur in spezialisierten Programmen verfgbar. Das menschliche Problem liegt darin, dass der Benutzer sich mglicherweise gegen die Verschlsselung wehrt, da diese oft lstig ist. Zwar wird der Benutzer diesen Richtlinien im Sinne der Sicherheit zustimmen, aber selten halten diese sich auch daran.

Zusammenfassung
Wir haben erkannt, dass Sniffer ein bedeutendes Sicherheitsrisiko darstellen, da durch sie zum einen Zugang zu Passwrtern entsteht und so Fremde womglich sogar durch ein RootPasswort die Kontrolle ber ein Netzwerk erlangen knnen. Zum anderen sind Sniffer nicht leicht zu entdecken. Das wichtigste bei diesem Punkt, wie bei allen anderen Sicherheits(Vertraulichkeits-)fragen, ist: Kenne deinen Feind Wenn man wei, wie andere Sniffer gegen einen einsetzen, wei man wie man sich dagegen schtzen kann. (oder ist zumindest auf dem besten Wege dahin) Zum Schluss kann wohl gesagt werden, dass die besten Abwehrmanahmen eine sichere Netzwerktopologie und eine starke Verschlsselung sind.

Seite 18