[markus_83_nrw]

Hallo MR_66,

ich kann dir leider nicht bei deinem Problem helfen, aber ich muss mal etwas zu dem Admin in eurem Netzwerk sagen. Es gibt sehr wohl möglichkeiten dieses zu verhindern.

Z.B.: bei Cisco routern kann einstellen, dass an einem bestimmten Port nur eine MAC-Adresse zugelassen wird.
Dein letztes zitat welches zu gebracht hast

Zitat

Was für ein Spacko von Admin, der nicht mal ordentlich seine Router unter Kontrolle hat.

ist leider ziemlich richtig.

Sorry für Off-Topic aber das muste jetzt mal sein.

Gruß Markus

[puppet]

Zitat (MR_66: 29.08.2006, 12:20)

ich hab alles probiert ohne erfolg

Was hast du denn nun genau probiert und wie bist du genau vorgegangen?

Hier mal ein Bsp:
Begonnen wurde mit einem leeren ARP-Cache (z.B. nach Systemstart), XArp geöffnet, ettercap vorbereitet (Adapter für Unified Sniffing gewählt, Sniffing gestartet, Plugins (eigentlich nur arp_cop) geladen), danach wurde auf das Internet über den Gateway 192.168.0.254 zugegriffen:

Alles (scheinbar) noch normal, die MAC Adresse scheint noch zu stimmen, dann kam ein MitM (192.168.0.21) und hat ein APR zwischen Internetgateway und dem Test-PC (192.168.0.230) eingerichtet (wie deutlich in XArp und ettercap zu sehen):

Nach einem Scan mit ettercap wurde auch schnell klar woher der MitM-Angriff kam:


Beachte aber, dass der Angriff nicht immer so ablaufen muss, das ist nur ein Beispiel damit du ungefähr erkennen kanst worauf du achten musst.

Dieser Beitrag wurde von puppet bearbeitet: 29. August 2006 - 13:19

[MR_66]

ich hab Ettercap NG-0.7.3, ARP-Scanner2, Bopup und ethereal probiert.

ettercap macht etwas aber muss ich noch lernen , ARP-Scanner2 und Bopup tun nichts.

ethereal hab ich 10 studen laufen lassen und muss ich analiezieren aber wie jetz ich suche eine deutsche

anleitund für ethereal.

ich kann ihm nur finden wenn ich ihm im internet folgen kann.

ich muss wissen welche seite er besucht hat.

ich denke mal das ist genug für mich

danke an alle

[puppet]

Okay, wenn du noch nicht viel Erfahrung damit hast:
Downloade dir erstmal HttpDetect (EffeTech HTTP Sniffer, 14-Tage Demo).

Nun startest du einfach ettercap, dort dann Menü "Sniff" -> Unified sniffing -> [NIC wählen] -> OK
-> Menü "Start" -> Start sniffing
-> Menü "Hosts" -> Scan for Hosts
Sobald fertig: Menü "Hosts" -> Host List: Dort den Internetgateway anklicken -> Add to Target 1, danach den MitM anwählen -> Add to Target 2
-> Menü "MitM" -> "APR/ARP Poisoning" -> OK

HttpDetect öffnen, Menü "Sniffer" -> Select an Adpater -> NIC wählen -> OK
Menü "Sniffer" -> Start

Das ganze funktioniert aber nur wenn er direkt auf das Internet zugreift, also nicht über einen Proxy oder einen Tunnel.

[MR_66]

danke puppet

HttpDetect (EffeTech HTTP Sniffer, 14-Tage Demo) muss ich sagen diese tool ist super einfach bedienen.

ganz einfach ich habe nur 10 min probiert geklappt.

da gibst noch eine super tool Ace Password Sniffer v1.2 , MSN Sniffer v1.2

jetzt werde ich ein böse jung und ich werde ihm zeigen wie es geht.

danke noch mal an Alle

[C-Otto]

Ich hoffe mal, dass eine Antwort auch noch so langer Zeit noch Sinn macht. Vielleicht findet ja jemand diesen Thread und hat ein ähnliches Problem.

Ich bin einer der Admins für das Netzwerk im Studentenwohnheim Halifax in Aachen. Auch hier gibt es das Problem, dass Leute IP-Adressen einstellen, die anderen Leuten oder Servern zugeordnet sind. Diese Falscheinstellungen sind meistens Tippfehler, da man keinen direkten Vorteil wegen Accounting etc. von einer falschen IP hat.

Wir haben das Problem wie folgt gelöst. Details kann ich gerne nachliefern!

Zu jedem Benutzer ist pro IP eine Liste von Mac-Adressen gespeichert, die er per Passwort autorisiert hat. Um Tippfehler zu vermeiden wird ein DHCP-Server betrieben, der die entsprechende IP zu der jeweiligen Mac rausgibt. Auf unserem Router läuft alle paar Sekunden ein Skript, was zu jeder bekannten IP-Adresse überprüft, ob die aktuell dazu verwendete Mac-Adresse in der Datenbank eingetragen ist. Wenn das nicht so ist, wird der Switchport im Netzwerk automatisch gesperrt (und Informationsmails werden verschickt). Das System ist in der Lage nach rund 20 Sekunden den "IP-Dieb" aus dem Netz zu werfen. Zusätzlich läuft ein System, was alle paar Sekunden nach fremden DHCP-Servern sucht. Wird ein solcher Server gefunden, wird der Netzwerkport auch sofort gesperrt.

Diese Systeme basieren darauf, dass man eine Datenbank für die Benutzerverwaltung hat und dass alle Switches per SNMP die nötigen Informationen bieten und sich auch damit kontrollieren lassen.

Falls jemand sowohl IP- als auch Mac-Adresse klaut, greift dieses System nicht. Wir können allerdings manuell eine Suche nach IP- bzw. Mac-Adresse starten und den Port sperren. Dieser Vorgang dauert nur wenige Sekunden. Dieses Problem ist allerdings noch nicht aufgetreten, unsere Benutzer machen wenig Unsinn. Es gibt außerdem kaum einen Grund dafür, absichtlich falsche Daten zu verwenden. Das Netzwerk ist für jeden Benutzer fast unbegrenzt nutzbar, unabhängig von der IP.

Ciao,
Carsten

Dieser Beitrag wurde von C-Otto bearbeitet: 07. Juli 2007 - 12:07