Workshop Teil 2: Sniffing mit Wireshark

Switch Jamming

Bei Switches ohne Portspiegelung muss man zu einem etwas unfeinen Mittel greifen, dem "Switch Jamming". Dabei schickt man dem Switch eine Vielzahl von Paketen mit verschiedenen MAC-Adressen, bis sein interner Speicher für die Verwaltung überläuft. Die meisten Switches schalten in diesem Fall um und verhalten sich dann wie ein Hub, senden also alle Pakete an alle Ports.

Und genau darin liegt der Nachteil dieses Verfahrens: Während der Analyse degradiert man den Switch zu einem Hub und verliert damit alle Performance-Vorteile. Unter Linux gibt es dafür das Tool macof, das in der dsniff-Suite enthalten ist. Windows-User können auf die Windows-Version der Netwox-Library zurückgreifen. Dort ist es das Tool mit der Nummer 75. Benutzen Sie zum Jammen einfach folgende Kommandozeile

netwox350.exe 75 -d eth0

Soll eine bestimmte Station überwacht werden, können Sie sich mittels der dsniff-Suite einfach und schnell in deren Kommunikation einschalten, indem Sie per ARP-Poisoning die Station dazu veranlassen, alle Pakete zunächst an den sniffenden Rechner zu schicken. Die Suite sorgt dann automatisch dafür, dass die Pakete an den eigentlichen Empfänger weitergeleitet werden.