network sniffer

Odessa · 13.11.2001, 21:03

Schönen guten Abend!

Ich habe gestern zum ersten Mal einen Network Sniffer ausprobiert (colasoft capsa 1.2) und war erschreckt wie leicht man emails und PW abfangen kann (halbe Stunde: 12 PW!!!)
Wie kann ich herausfinden ob jemand in unserem Netzwerk einen Sniffer in Betrieb hat, bzw wie kann ich mich davor schützen?
Ich wohne in einem Studentenwohnheim und bin mir sicher das auch andere auf die Idee kommen könnten.

Mit bitte auf rasche Hilfe verbleibt
euer

Sven

MANX · 13.11.2001, 21:27

Hi!

PGP verwenden hilft!

Manx

SNo0py · 14.11.2001, 13:55

Also ich glaub, dass du das gar net überzuckern kannst, ob wer mitsnifft oder nicht, weil der ja nur die Daten, die sowieso vorbeikommen, liest!

BOfH · 14.11.2001, 23:59

@MANX:
Das Problem ist, daß FTP/POP3/Telnet Passwörter ja unverschlüsselt übertragen werden.
PGP schützt nur den Inhalt bzw. stellt den Absender
per Signatur sicher.

In einem geswitchten LAN wird das Sniffen etwas erschwert,obwohl es verschiedene Verfahren auch in so einem LAN gibt (geben soll).

Mir kommt vor, daß ich irgendwo mal über Sichtung von Sniffern gelesen habe, aber ich kann mich ja irren.

mfg
BOfH

MrWolf · 15.11.2001, 00:26

deshalb grundsätzlich nur ssh statt telnet verwenden und alles andere per ssh tunneln. bzw. ssl zum authentifizieren am pop-server.

logout mrw

MANX · 15.11.2001, 09:35

Hi!

@BOfH

Das ist natürlich richtig.
Da "Booker2002" von mitgesnifferten Mails sprach, ist die Lösung zur Wahrung der Privatsphäre PGP.
Wenn FTP bzw. Telnet übers Internet verwendet wird, ist das sowieso äußerst bedenklich. => ssh
Problematisch sind natürlich Mailaccounts mit POP obwohl securePOP möglich wäre.

Big Brother's watching you ...

Manx

BOfH · 15.11.2001, 17:56

@MrWolf:

Sollte dazu der Provider (in meinem Fall AON) nicht SSL unterstützen ? Oder kann er es doch und ich habe es nur nicht bemerkt ?

mfg

mig · 15.11.2001, 18:25

Kann schon sein, aber es gibt immer noch die Möglichkeit, Dich per ssh auf dem pophost einzuloggen, und dann dem Mailclient den ssh port am localhost unterzujublen

Beispiel (aus der VO die auch MrWolf gehört hat) ...

ssh -L 1234 :Pophost:110 Pophost sleep 100

zum remote aufmachen der connection müßtest Du halt ein kleines Skript schreiben.

lG, mig

speedjunkie · 18.11.2001, 13:28

zumindest theoretisch gibts die möglichkeit hosts zu erkennen deren netzwerkkarte im promiscious-mode arbeitet.
also:
1.) man sende soviele daten an eine mac-adresse die es gar nicht gibt wie über das netzwerk gehen.
2.) da der rechner mit der promiscious-NIC jetzt ziemlich viel arbeit hat kann man das leicht herausfinden wenn z.B. ein ping statt 20ms plötzlich 1000ms dauert (achtung: wenn das netzwerk durch die vielen datenpakete an die nicht existierend mac-adr. so belastet ist dauert ein ping reply u.U. auch bei nicht sniffenden hosts _etwas_ länger).
möglichkeit 2:
1.) man schickt einen ICMP-echo-request an eine MAC-adresse die es nicht gibt. als IP-adresse des empfängers nimmt man die IP-adresse des zu testenden hosts.
2.) antwortet der zu testende host auf den echo-request kann man sicher sein, dass da jemand mitsnifft

mfg, speedjunkie

mr.red · 19.11.2001, 21:20

..und gürtelnutten

13.11.2001, 21:03	#1
Odessa Veteran Registriert seit: 01.06.2000 Alter: 48 Beiträge: 235	network sniffer Schönen guten Abend! Ich habe gestern zum ersten Mal einen Network Sniffer ausprobiert (colasoft capsa 1.2) und war erschreckt wie leicht man emails und PW abfangen kann (halbe Stunde: 12 PW!!!) Wie kann ich herausfinden ob jemand in unserem Netzwerk einen Sniffer in Betrieb hat, bzw wie kann ich mich davor schützen? Ich wohne in einem Studentenwohnheim und bin mir sicher das auch andere auf die Idee kommen könnten. Mit bitte auf rasche Hilfe verbleibt euer Sven ____________________________________ www.myspace.com/redgardenaut www.jonasgoldbaum.com

14.11.2001, 13:55	#3
SNo0py Inventar Registriert seit: 08.02.2000 Beiträge: 1.696	Also ich glaub, dass du das gar net überzuckern kannst, ob wer mitsnifft oder nicht, weil der ja nur die Daten, die sowieso vorbeikommen, liest! ____________________________________ Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.

15.11.2001, 18:25	#8
mig Elite Registriert seit: 04.05.2000 Alter: 48 Beiträge: 1.308	Kann schon sein, aber es gibt immer noch die Möglichkeit, Dich per ssh auf dem pophost einzuloggen, und dann dem Mailclient den ssh port am localhost unterzujublen Beispiel (aus der VO die auch MrWolf gehört hat) ... ssh -L 1234 :Pophost:110 Pophost sleep 100 zum remote aufmachen der connection müßtest Du halt ein kleines Skript schreiben. lG, mig ____________________________________ -- Hi! I\'m a signature virus! Copy me into your signature file to help me spread.

18.11.2001, 13:28	#9
speedjunkie Newbie Registriert seit: 04.11.2001 Beiträge: 8	zumindest theoretisch gibts die möglichkeit hosts zu erkennen deren netzwerkkarte im promiscious-mode arbeitet. also: 1.) man sende soviele daten an eine mac-adresse die es gar nicht gibt wie über das netzwerk gehen. 2.) da der rechner mit der promiscious-NIC jetzt ziemlich viel arbeit hat kann man das leicht herausfinden wenn z.B. ein ping statt 20ms plötzlich 1000ms dauert (achtung: wenn das netzwerk durch die vielen datenpakete an die nicht existierend mac-adr. so belastet ist dauert ein ping reply u.U. auch bei nicht sniffenden hosts _etwas_ länger). möglichkeit 2: 1.) man schickt einen ICMP-echo-request an eine MAC-adresse die es nicht gibt. als IP-adresse des empfängers nimmt man die IP-adresse des zu testenden hosts. 2.) antwortet der zu testende host auf den echo-request kann man sicher sein, dass da jemand mitsnifft mfg, speedjunkie ____________________________________ \"you get what you pay for\" (Ausnahme sind Produkte der Firma Microsoft)

19.11.2001, 21:20	#10
mr.red Inventar Registriert seit: 29.04.2001 Alter: 57 Beiträge: 2.278	..und gürtelnutten ____________________________________ i2p http://www.i2p.net/download

13.11.2001, 21:27	#2
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! PGP verwenden hilft! Manx

14.11.2001, 23:59	#4
BOfH Veteran Registriert seit: 05.01.2000 Alter: 49 Beiträge: 380	@MANX: Das Problem ist, daß FTP/POP3/Telnet Passwörter ja unverschlüsselt übertragen werden. PGP schützt nur den Inhalt bzw. stellt den Absender per Signatur sicher. In einem geswitchten LAN wird das Sniffen etwas erschwert,obwohl es verschiedene Verfahren auch in so einem LAN gibt (geben soll). Mir kommt vor, daß ich irgendwo mal über Sichtung von Sniffern gelesen habe, aber ich kann mich ja irren. mfg BOfH

15.11.2001, 00:26	#5
MrWolf Master Registriert seit: 19.10.2000 Alter: 52 Beiträge: 671	deshalb grundsätzlich nur ssh statt telnet verwenden und alles andere per ssh tunneln. bzw. ssl zum authentifizieren am pop-server. logout mrw

15.11.2001, 09:35	#6
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! @BOfH Das ist natürlich richtig. Da "Booker2002" von mitgesnifferten Mails sprach, ist die Lösung zur Wahrung der Privatsphäre PGP. Wenn FTP bzw. Telnet übers Internet verwendet wird, ist das sowieso äußerst bedenklich. => ssh Problematisch sind natürlich Mailaccounts mit POP obwohl securePOP möglich wäre. Big Brother's watching you ... Manx

15.11.2001, 17:56	#7
BOfH Veteran Registriert seit: 05.01.2000 Alter: 49 Beiträge: 380	@MrWolf: Sollte dazu der Provider (in meinem Fall AON) nicht SSL unterstützen ? Oder kann er es doch und ich habe es nur nicht bemerkt ? mfg

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)