WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Netzwerke (http://www.wcm.at/forum/forumdisplay.php?f=32)
-   -   network sniffer (http://www.wcm.at/forum/showthread.php?t=36153)

Odessa 13.11.2001 21:03
network sniffer
 
Schönen guten Abend!

Ich habe gestern zum ersten Mal einen Network Sniffer ausprobiert (colasoft capsa 1.2) und war erschreckt wie leicht man emails und PW abfangen kann (halbe Stunde: 12 PW!!!)
Wie kann ich herausfinden ob jemand in unserem Netzwerk einen Sniffer in Betrieb hat, bzw wie kann ich mich davor schützen?
Ich wohne in einem Studentenwohnheim und bin mir sicher das auch andere auf die Idee kommen könnten.

Mit bitte auf rasche Hilfe verbleibt
euer

Sven

MANX 13.11.2001 21:27
Hi!

PGP verwenden hilft!

Manx

SNo0py 14.11.2001 13:55
Also ich glaub, dass du das gar net überzuckern kannst, ob wer mitsnifft oder nicht, weil der ja nur die Daten, die sowieso vorbeikommen, liest!

BOfH 14.11.2001 23:59
@MANX:
Das Problem ist, daß FTP/POP3/Telnet Passwörter ja unverschlüsselt übertragen werden.
PGP schützt nur den Inhalt bzw. stellt den Absender
per Signatur sicher.

In einem geswitchten LAN wird das Sniffen etwas erschwert,obwohl es verschiedene Verfahren auch in so einem LAN gibt (geben soll).

Mir kommt vor, daß ich irgendwo mal über Sichtung von Sniffern gelesen habe, aber ich kann mich ja irren.

mfg
BOfH

MrWolf 15.11.2001 00:26
deshalb grundsätzlich nur ssh statt telnet verwenden und alles andere per ssh tunneln. bzw. ssl zum authentifizieren am pop-server.

logout mrw

MANX 15.11.2001 09:35
Hi!

@BOfH

Das ist natürlich richtig.
Da "Booker2002" von mitgesnifferten Mails sprach, ist die Lösung zur Wahrung der Privatsphäre PGP.
Wenn FTP bzw. Telnet übers Internet verwendet wird, ist das sowieso äußerst bedenklich. => ssh
Problematisch sind natürlich Mailaccounts mit POP obwohl securePOP möglich wäre.

Big Brother's watching you ...

Manx

BOfH 15.11.2001 17:56
@MrWolf:

Sollte dazu der Provider (in meinem Fall AON) nicht SSL unterstützen ? Oder kann er es doch und ich habe es nur nicht bemerkt ?

mfg

mig 15.11.2001 18:25
Kann schon sein, aber es gibt immer noch die Möglichkeit, Dich per ssh auf dem pophost einzuloggen, und dann dem Mailclient den ssh port am localhost unterzujublen ;)

Beispiel (aus der VO die auch MrWolf gehört hat) ...

ssh -L 1234 :Pophost:110 Pophost sleep 100

zum remote aufmachen der connection müßtest Du halt ein kleines Skript schreiben.

lG, mig

speedjunkie 18.11.2001 13:28
zumindest theoretisch gibts die möglichkeit hosts zu erkennen deren netzwerkkarte im promiscious-mode arbeitet.
also:
1.) man sende soviele daten an eine mac-adresse die es gar nicht gibt wie über das netzwerk gehen.
2.) da der rechner mit der promiscious-NIC jetzt ziemlich viel arbeit hat kann man das leicht herausfinden wenn z.B. ein ping statt 20ms plötzlich 1000ms dauert (achtung: wenn das netzwerk durch die vielen datenpakete an die nicht existierend mac-adr. so belastet ist dauert ein ping reply u.U. auch bei nicht sniffenden hosts _etwas_ länger).
möglichkeit 2:
1.) man schickt einen ICMP-echo-request an eine MAC-adresse die es nicht gibt. als IP-adresse des empfängers nimmt man die IP-adresse des zu testenden hosts.
2.) antwortet der zu testende host auf den echo-request kann man sicher sein, dass da jemand mitsnifft :-)

mfg, speedjunkie

mr.red 19.11.2001 21:20
..und gürtelnutten


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:32 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag