ITS-7.3

7.3 Lauschangriffe
(abhören, eavesdropping, sniffing)
 am Übertragungsmedium:
leitungsgebunden: einfach bei Strom
schwierig bei LWL
nicht leitungsgeb.: sehr einfach
! Voraussetzung:
physischer Zugang
zum Medium
 im vermittelnden Rechner:
Lesen/Kopieren der zwischengespeicherten Nachrichten;
sehr einfach möglich mit speziellen
Programmen (sniffers)
ITS-7.3
! Voraussetzung:
SystemverwalterRechte
1
 im Lokalnetz mit promiscuous mode*:
Lesen/Kopieren der empfangenen
Nachrichten; sehr einfach möglich
mit sniffers
*
ITS-7.3
! Voraussetzung:
SystemverwalterRechte
promiscuous mode = im Lokalnetz spezieller Modus,
in dem der Netzanschluss einer Station arbeitet:
alle Pakete werden übernommen, nicht nur die an die
Station adressierten Pakete
2
Beachte:
Sniffer-Programme sind zweischneidig!
 Angreifer benutzt sie zu Angriffszwecken:
Lauschangriff
 Verteidiger benutzt sie zu Verteidigungszwecken:
Einbruchserkennung
ITS-7.3
3
Typische Sniffer-Programme:
snort (primär für Einbruchserkennung) www.snort.org
tcpdump (Unix)
man tcpdump
windump (Windows)
ethereal (Unix) www.ethereal.com
dsniff (Unix)
monkey.org/~dugsong/dsniff
snoop (Solaris)
man snoop
ITS-7.3
4
Zum Beispiel tcpdump :
lohr@lohr:~ $ tcpdump
tcpdump: (no devices found) /dev/bpf0: Permission denied
lohr@lohr:~ $ su root
Password:
lohr:/Users/lohr root# tcpdump
tcpdump: WARNING: en0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel
lohr:/Users/lohr root# tcpdump -D
1.en0
Ethernet
2.fw0
FireWire
3.en1
Modem
4.lo0
loopback to local host
ITS-7.3
5
lohr:/Users/lohr root# tcpdump -i4 -A -s150
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 150 bytes
09:49:01.784741 localhost.51134 > localhost.ftp: P 1561170183:1561170188(5)
ack 2778385722 win 65535 <nop,nop,timestamp 903484317 903484272>
.....:......................................]
5...5..pbla
09:49:01.785260 localhost.ftp > localhost.51134: P 1:37(36)
ack 5 win 65535 <nop,nop,timestamp 903484317 903484317> [flowlabel 0x42a24]
......V........................................:]
5...5...500 'bla': command not understood.
09:49:01.878997 localhost.51134 > localhost.ftp: .
ack 37 win 65535 <nop,nop,timestamp 903484317 903484317>
.....^......................................]
5...5...
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
lohr:/Users/lohr root#
6
Durch Lauschangriff verletzte Schutzziele:
 Vertraulichkeit (der übertragenen Nutzdaten)
 Anonymität - wird verletzt durch Einsicht in die
Verkehrsdaten: Ziel- und Absenderadressen)
und als Folge der verletzten Vertraulichkeit:
 Zugangsschutz - wird verletzt, wenn ein Passwort
abgelauscht wurde, z.B. bei telnet-Benutzung
(password sniffing)
ITS-7.3
7
Gegenmaßnahmen:
 Verschlüsselung der Nutzdaten
? Verkehrsdaten: sichere Protokolle (8)
ITS-7.3
8