Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Weitere Magazine

Empfehlungen

Info

38 Für diese Attacke werden wir das Tool ettercap verwenden, da es relativ einfach aufgebaut ist, dabei aber trotzdem viele Einstellungsmöglichkeiten bietet. Unsere Attacke wird in zwei Stufen aufgebaut sein. Als erstes müssen wir das Opfer oder besser dessen Computer dazu bringen, seinen ganzen Traffic auf unseren Computer umzuleiten, also eine sogenannte Man-in-the-middle-Attacke ausführen. Dazu werden wir ARP Spoofing verwenden. ARP ist ein Protokoll auf Layer 2 (Sicherung), um anhand einer IP-Adresse die zugehörige MAC-Adresse abzufragen. Die Funktionsweise von ARP Spoofing ist einfach. Der Grund für dessen Erfolg ist der dynamische ARP-Cache auf jedem Client und eine Zuordnungstabelle auf jedem Switch: Ein Switch führt eine Zuordnungstabelle, worin die MAC-Adressen der angeschlossenen Geräte dem jeweiligem Port zugeordnet sind. Diese gibt es deshalb, weil ein Switch somit genau weiss, welches System an welchem Port angeschlossen ist und somit auch, an welchen Port ein einzelnes Datenpaket weitergeleitet werden muss. Der Client führt einen eigenen ARP-Cache, worin er eine MAC-Adresse einer IP-Adresse zuordnet, sodass er nicht vor jedem Versenden eines Paketes die MAC- Adresse zu einer IP neu abfragen muss. Veranschaulicht könnte das dann so ablaufen (Bild 1): �� nen ARP-Cache nach der MAC-Adresse des Zieles ab und packt diese danach mit in das Paket. �� aus und weiss anhand seiner Zuordnungstabelle das zu dieser MAC-Adresse der Port 1 gehört, worauf er das Paket an Port 1 und somit an das Ziel weiterleitet. �� seines Opfers so verändern, dass eine IP-Adresse einer total neuen, beliebigen MAC-Adresse zugeordnet wird. Abbildung 2. Eine Anfrage (rot) an Ziel während ARP-Spoofi ng ANGRIFF Wieder ein Beispiel dazu (Bild 2): �� les nicht mehr die MAC-Adresse des Zieles, sondern die des Angreifers zugeordnet ist. �� Paketes seinen ARP-Cache nach der MAC-Adresse des Zieles ab. Aber anstatt von seinem ARP- Cache auch die MAC-Adresse des Zieles zu erhalten, bekommt er die des Angreifers, welche er in totaler Unwissenheit in sein Paket packt. �� Pakete aus und vergleicht diese mit seiner Zuordnungstabelle. Anhand der MAC-Adresse (die des Angreifers) sendet er das Paket an Port 2 und somit an den Angreifer und nicht wie vom Opfer geplant an das Ziel. Somit geht der Verkehr aber erst vom Opfer zum Angreifer. Damit das Oper davon aber nichts merkt, muss der Angreifer die abgefangene Anfrage an das Ziel weiterleiten.Nun verläuft die Kommunikation schon vom Opfer über den Angreifer zum Ziel. Damit man aber auch den gesamten Verkehr in die andere Richtungen, also Anfragen und Antworten mitkriegt, macht man ARP-Attacken immer auf den Client und den Router / Gateway gleichzeitig, womit nun eine Kommunikation vom Opfer über den Angreifer zum Ziel und auch wieder zurück möglich ist. Damit ist die Man-in-the-Middle- Attacke komplett und der Angreifer ist in der Lage, den gesamten Netzwerkverkehr seines Opfers nicht nur abzufangen und mit zuhören, sondern auch beliebig zu verändern, was uns auch sogleich zu Schritt 2 bringt. Im ersten Artikel haben wir als Beispiel die Seite Gmail kopiert und präpariert. Also wollen wir auch gleich dort anknüpfen. 10/2010
Nun gilt es für den Angreifer darauf zu warten, bis das Opfer den A-Record von gmail.com abfragt. Sehen wir nun in unserem mitgehörten Traffic eine solche Anfrage, so muss das Antwortpaket soweit verändert werden, dass anstatt die tatsächliche IP-Adresse nun die IP-Adresse zu unserer präparierten Seite übermittelt wird. Das Opfer selbst empfängt und akzeptiert das so, weil es selbst von der Veränderung nichts mitbekommt. Alle Anfragen, welche das Opfer von nun an an Gmail macht, werden nicht an Gmail selbst, sondern an unsere präparierte Seite gesandt, womit unser Vorhaben erfüllt wäre. So nun genug Theorie, schreiten wir zur Tat! Beide Schritte können direkt mit ettercap durchgeführt werden. Dabei handelt es sich um ein Stück Software mit Spezialisierung auf Man-in-the-Middle-Attacken, welches unter der GPL wahlweise für Windows, Linux oder Mac veröffentlicht wurde. Leider wurde es seit einiger Zeit nicht mehr weiterentwickelt, was sich jedoch nicht auf die Funktionalität auswirkt. Ettercap kann wahlweise via GUI oder Konsole bedient werden, doch erstmal wird alles konfiguriert. Zuerst müssen wir unsere eigenen A-Rekords für gmail.com anlegen. Dazu editieren wir die Datei /usr/ share/ettercap/etter.dns und erweitern diese um einen Eintrag wie in Listing 1 dargestellt. Wenn wir nun speichern, so haben wir festgelegt, dass Anfragen nach der IP von gmail.com oder *.gmail. com mit 127.0.0.1 beantwortet werden sollen. Listing 1. ein A-Record für eine präparierte Seite von gmail.com *.gmail.com A 127.0.0.1 gmail.com A 127.0.0.1 Abbildung 3. GTK-GUI von ettercap DNS Cache Poisoning Somit sind wir auch schon bereit und können bereits mit Schritt 1 beginnen. Dazu starten wir ettercap und wählen unter dem Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei werden wir nach dem Interface gefragt, über welches der Angreifer mit dem Netzwerk des Opfers verbunden ist. Im Falle einer Verbindung via Kabel ist das meist eth0, bei WLAN meist wlan0. Ist auch das vollbracht, so können das oder die Ziele identifiziert werden. Dazu wählen wir den Punkt Hosts > Scan for hosts, wodurch automatisch alle 255 Hosts im Subnet angepingt werden (Bild 3). Ist auch das durchgestanden, so können die Ziele unter Hosts > Hosts list ausgewählt werden. Als Target 1 muss der Router oder Gateway und das Opfer als Target 2 ausgewählt werden. Hier muss gegebenenfalls mit nmap nach geprüft werden um die IP des Opfers zu identifizieren. Nun kann mit dem Selektieren von Mitm > Arp poisoning die ARP-Attacke gestartet und Schritt 1 somit beendet werden. Wird nun Wireshark oder tcpdump gestartet, so kann man allen Netzwerkverkehr des Opfers und des Routers / Gateways mitgehört werden. Nun gleich weiter zu Schritt 2. Nachdem die Man-inthe-Middle-Attacke steht, können wir dem Opfer nun unsere DNS-Records aufzwingen. Dazu verwenden wir die ettercap-Plugins unter dem Punkt Plugins > Manage the plugins. Da wählen wir den Punkt dns_spof aus. Und somit ist unser DNS-Spoofing-Angriff einsatzfähig und aktiv. Wem als Angreifer kein GUI zur Verfügung steht, der kann auch den interaktiven Modus von ettercap verwenden. Dazu muss ettercap nur mit der Option -T aufgerufen werden. Alles weitere ist dann in der Hilfe (h- Taste) nachzulesen. Nun ist alles getan! Jedes mal wenn nun unser Opfer die Webseite von Gmail aufruft, wird es auf unsere präparierte Seite umgeleitet, ohne dass es davon etwas merkt. In Kombination mit SET erhält ein Angreifer so mühelos Zugriff auf ein fremdes System. Links �� http://seicon.ch Unternehmen des Autors �� http://blog.encodingit.ch� �� PATRICK SCHMID Der Autor ist System Engineer im Bereich Linux / Unix und unterstützt nebenbei die Entwicklung und Verbreitung von Linux und Opensource im privaten wie auch im professionellen Umfeld. hakin9.org/de 39
Seite 3 und 4: LIEBE HAKIN9 LESER, Das Hauptthema
Seite 5 und 6: 30 IT-Risikomanagement - Wozu brauc
Seite 7 und 8: Passwörter zu merken. Oftmals werd
Seite 9 und 10: Nun müssen wir noch unser Payload
Seite 11 und 12: Malware-Doppelschlag per JavaScript
Seite 13 und 14: Malware-Doppelschlag per JavaScript
Seite 15: Malware-Doppelschlag per JavaScript
Seite 18 und 19: 18 be dabei nicht an der Schlossfal
Seite 20 und 21: 20 Abbildung 5. Ein EVVA-MCS Schlü
Seite 22 und 23: 22 ter zu finden. Der Anfang der Ü
Seite 24 und 25: 12-11-2010 Die IT-Security Communit
Seite 26 und 27: 26 Web-Site www.cert.org betreibt,
Seite 28 und 29: 28 Abbildung 5. Mapping auf ISO 270
Seite 30 und 31: 30 ABWEHR IT-Risikomanagement - Woz
Seite 32 und 33: 32 ��
Seite 34 und 35: 34 Bewährt haben sich hier etwa dr
Seite 36 und 37: ��
Seite 41 und 42: Interview mit Tobias Glemser „Sic
Seite 44 und 45: 44 INTERVIEW „Erfolgreiche Frauen
Seite 46 und 47: 46 SAP for DFPS Implementierung und
Seite 48 und 49: SEC Consult Recommended Companies M

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?