suche linux sniffer für geswitchten netzwerk

[ccc]

hi

suche einen guten linux sniffer ausser tcpdump und ethereal für geswitchten netzwerk.
mit port mirroring.

gruss
ccc

 

[Bonk]

Ettercap.

 

[RlDdLeR]

dsniff :x

 

[namespace]

suche einen guten linux sniffer ausser tcpdump und ethereal für geswitchten netzwerk.

Gibts überhaupt Sniffer die speziell für geswichte Netzwerke sind?
Da sollte jeder andere auch gehen, das problem ist nur, den Switch erstmal dazu zu bringen den Verkehr über deinen PC laufen zu lassen, aber das arp lässt sich ja ziemlich easy manipulieren

Oder willst du den Verkehr von deinem PC aus, oder den deines Servers, dann vergiss das oben!

 

[Bonk]

Du hast es drauf ,oder?

 

[RlDdLeR]

Du hast es drauf ,oder?

Bonk unterlasse deine unqualifierte Art und Weise, vorallendingen deine aktiven Angriffe auf User, wenn du es selbst nicht besser kannst. Hab bisher sehr wenig konstruktives von dir gesehen, solltest du ändern. In jeglicher Fachsprache verwendet man Fachausdrücke die einem Aussenstehenden kryptisch erscheinen, also auch dir, und nur weil du es nicht verstehst musst du nicht durch noch einen Post versuchen irgendwelche Körperteile zu verlängern.

K thx bye

 

[Bonk]

Da hast Du wohl etwas falsch verstanden!!! Meine erste Antwort war deshalb so knapp, weil ich es nicht gut finde hier "Anleitungen" zum Hacken, Cracken etc. zu geben.
Dir hab ich mal das Selbe unterstellt. Meine zweite Antwort bezog sich also nicht auf die doch recht
spärlichen Fachausdrücke. Ist, ok, nicht so deutlich und IMHO keine Beleidigung. Falls doch, SORRY Namespace.

Jetzt lies doch nochmal Deine Antwort und überlege, ob Du soviel besser bist.

 

[devilz]

Da hast Du wohl etwas falsch verstanden!!! Meine erste Antwort war deshalb so knapp, weil ich es nicht gut finde hier "Anleitungen" zum Hacken, Cracken etc. zu geben.
Dir hab ich mal das Selbe unterstellt. Meine zweite Antwort bezog sich also nicht auf die doch recht
spärlichen Fachausdrücke. Ist, ok, nicht so deutlich und IMHO keine Beleidigung. Falls doch, SORRY Namespace.

Jetzt lies doch nochmal Deine Antwort und überlege, ob Du soviel besser bist.

Nunja Hacken, Cracken sind 2 Verschiedene Paar Schuhe.

Und wenn jemand in seinem LOKALEN Netzwerk "Sicherheitslöcher" suchen will, finde ich das nicht schlimm ...

 

[hex]

Sehe das genauso wie devilz.
Ich spiele grad auch mit n paar Netzwerk-Tools rum und bin deswegen noch lange kein Hacker *lol*

regards hex

 

[Bonk]

Nunja Hacken, Cracken sind 2 Verschiedene Paar Schuhe.

Und wenn jemand in seinem LOKALEN Netzwerk "Sicherheitslöcher" suchen will, finde ich das nicht schlimm ...

Is mir klar, mit "Hacken und Cracken" wollte ich nur "das Böse" umschreiben.

Prinzipiell ist "das Suchen von Sicherheitslöchern im lokalem Netz" ok, was immer das jetzt auch bedeuten soll (im Zusammenhang mit 'nem Packet-Sniffer - Scanner wäre einleuchtender).

Nachtigall, ick hör dir trappsen

 

[CMW]

Gibts überhaupt Sniffer die speziell für geswichte Netzwerke sind?
Da sollte jeder andere auch gehen, das problem ist nur, den Switch erstmal dazu zu bringen den Verkehr über deinen PC laufen zu lassen, aber das arp lässt sich ja ziemlich easy manipulieren

Oder willst du den Verkehr von deinem PC aus, oder den deines Servers, dann vergiss das oben!

@ Bonk:Wo ist denn da bitte eine Anleitun "zum Hacken, Cracken etc."? Wer weiss WIE man das adressresolution-protocol manipuliert, weiss man erst recht dass es geht. Und da er nich tgeschrieben hat wie es geht, sehe ich da keinerlei probleme. Wenn einer aufgrund dieser "Anleitung" an geheime Daten kommt, sollte sich der Netzadmin Gedanken un einne anderen Beruf machen. Sorry dass ich mich hier einmische aber ich hasse Sprüche wie: "Du hast es drauf ,oder?" "mach's doch besser" oder den ganzen unkonstruktiven Mist den einege von sich geben. Fasse dies bitte nicht als Angriff sondern als bitte dein Verhalten zu ändern auf.

 

[Bonk]

Ja, der Spruch war nicht der Hammer, aber allzu oft hab ich sowas noch nicht losgelassen.
Werd mir Mühe geben.
Trotzdem ist der kleine Tipp von Namespace ist schon ziemlich sehr nah dran. Noch zwei Minuten Google und fertig. Da kann dann auch der Admin nicht mehr allzu viel machen. Stichwort "script kiddies" ! Wo kommen die wohl her ??? Vielleicht wird das ganze hier (auch von mir) jetzt etwas überbewertet.

 

[BeoWulf]

was für ein switch ist es bzw hat er einen port zum spiegeln (d.h. zum anschliessen weiterer switches) wenn ja ist das dein ansatzpunkt, da müsstest du dich zwischenschalten mit 2 netzwerkkarten und in den promicious (hab ich grad richtig geschreibselt,egal, weiss jeder was gemeint ist *g*) mode gehn,dann sollte es möglich sein den kompletten verkehr auswerten zu können.

 

[namespace]

was für ein switch ist es bzw hat er einen port zum spiegeln (d.h. zum anschliessen weiterer switches) wenn ja ist das dein ansatzpunkt, da müsstest du dich zwischenschalten mit 2 netzwerkkarten und in den promicious

Warum die arbeit wenn sich das auch Softwaremässig lösen lässt?
Dann brauch ich net groß am Switch rumzustöpseln.

 

[bananenman]

ich hab das eben in dem anderen thread auch schonmal gepostet - das ausspähen fremder daten ist in deutschland verboten. wenn es darum geht im eigenen netzwerk den verkehr zwischen workstation und server zu protokollieren, dann istalliert halt auf dem server etherreal oder was weiß ich. ich finde bonk's spruch zwar recht provozierend und eigendlich daneben, aber inhaltlich hat er recht und ich kann es nicht gutheißen hier im forum jemanden einen workaround für eine man-in-the-middle-attac zu geben - dafür gibt es bitteschön haufenweise server die solche informationen bieten und bei denen sich jeder client der gefahr aussetzt gleich erstmal selbst gescannt zu werden. wer das nicht will soll sich halt ein buch kaufen - das ist meist sowieso die bessere lösung.

mfg

bananenman

ps: es gibt keinen rechtlichen unterschied zwischen hacken und cracken.

 

[CMW]

Warum die arbeit wenn sich das auch Softwaremässig lösen lässt?
Dann brauch ich net groß am Switch rumzustöpseln.

da wirst du aber glaube ich nicht "drum herum" kommen...

 

[namespace]

da wirst du aber glaube ich nicht "drum herum" kommen...

Warum? Ich hoffe ich habe da jetzt keinen Denkfehler, da ich gerade keinen Switch zur Verfügung habe um das auszuprobieren.

PC1:192.168.0.2 > 00-aa-00-62-c6-02
PC2: 192.168.0.3 > 00-aa-00-62-c6-03
Server: 192.168.0.1 > 00-aa-00-62-c6-01

Der Switch hat zu jedem Port die MAC gespeichert, macht ja nix denn jetzt ändere ich von PC1 Remote den ARP-Cache so, dass er für die IP des Servers die MAC vom PC2 zugewiesen bekommt, von PC2 aus leite ich via IP-Tables die Daten weiter an den Server.

Oder liege ich da jetzt völlig falsch?

Ausserdem bestünde bei älteren Switches noch die Möglichkeit diesen zu überlasten, dann würde er wie ein HUB arbeiten.

und ich kann es nicht gutheißen hier im forum jemanden einen workaround für eine man-in-the-middle-attac zu geben

Um sowas zu bewerkstelligen, müsste er sich noch ein wenig mit dem Aufbau des ARP-Protokolls beschäftigen um überhaupt gefälschte Pakete verschicken zu können und wenn er das alles gelesen hat, dann kommt er auf diesen Teil hier von selbst.
Mit dem was hier geschrieben ist, ist noch lange nichts möglich.

 

[CMW]

Warum? Ich hoffe ich habe da jetzt keinen Denkfehler, da ich gerade keinen Switch zur Verfügung habe um das auszuprobieren.

PC1:192.168.0.2 > 00-aa-00-62-c6-02
PC2: 192.168.0.3 > 00-aa-00-62-c6-03
Server: 192.168.0.1 > 00-aa-00-62-c6-01

Der Switch hat zu jedem Port die MAC gespeichert, macht ja nix denn jetzt ändere ich von PC1 Remote den ARP-Cache so, dass er für die IP des Servers die MAC vom PC2 zugewiesen bekommt, von PC2 aus leite ich via IP-Tables die Daten weiter an den Server.

Damit kannst du aber nur den Traffic von einem Rechner Sniffen, der Aufwand fuer ein ganzes netz waere enorm. Ich denke bevor er sich durch arp und co gelesen hat und den Kram umgesetzt hat, ist es einfacher ein paar Kabel umzustöpseln.

 

[Bonk]

@CMW und @namespace !
So richtig verstanden hab ihr dir Diskussion nicht, oder ???

"Ja, is nah dran, aber funzt noch so noch nicht! Warte, du mußt nur noch blah, blah, blah ..... "

ZUM GLÜCK HAB IHR ES NICHT DRAUF! (BTW: Is mir jetzt totaaal pumpe, ob einer beleidigt ist!)

@CMW
Erzähl Du MIR nochmal was von Verhaltensänderung!

Zum Nachlesen für wirklich Interessierte u.a.:
Linux Magazin 06/04 - Total unterschätz: ARP-Angriffe
Hakin9 Juli/August 2004 - ICQ, AIM, MSN ... ist Instant Messaging Software sicher?

Für Euch:
ComputerBILD 2004-2008! Danach nochmal 3 Jahre PcGO! Vielleicht bringts ja was.

Viel Spaß beim Umstöpseln !

Oh, hab ein wichtigen Link vergessen!
HIER findet ihr noch einges an Infos.

 

[BeoWulf]

@ccc
ups hab das mit dem mirroring überlesen

@bananenman
-wenns der das eigene netzwerk ist=egal
wenn man es benutzt um gewisse protokolle auszuwerten z.b. zur fehlersuche legal und wenn benutzer involviert sind diese nach nachfrage ihr ok geben ... kommt halt drauf an wofür er es braucht.