Probleme im LAN aufspüren

Workshop Teil 2: Sniffing mit Wireshark

Lokale Angriffe von Sniffern

Nicht immer haben Sniffer etwas Gutes im Sinn. Oft versuchen Hacker durch das Mitverfolgen des Netzwerkverkehrs, an Passwörter oder andere sensitive Informationen zu gelangen. Ziel des Administrators muss es also sein, Sniffing zu verhindern oder zumindest zeitnah zu entdecken, um Gegenmaßnahmen einleiten zu können.

Wendet der Angreifer Switch-Jamming an, um an alle Pakete des Netzwerks zu gelangen, erfahren Sie das bei einem verwaltbaren Switch über die Management-Konsole, denn es wird ein entsprechender Eintrag im Log oder im SNMP gemacht. Dann erfahren Sie auch den Port, von dem plötzlich so viele verschiedene MAC-Adressen kommen, dass der interne Puffer überläuft.

Handelt es sich dagegen um einen "dummen" Switch, können Sie immer noch eine IDS-Station einrichten und den dort eingehenden Netzwerkverkehr analysieren. Kommen plötzlich Netzwerkpakete an dieser Station an, die bei normalem Switch-Betrieb nicht ankommen dürften, muss etwas im Netzwerk faul sein.

Einen etwas eleganteren Weg kann ein Angreifer mittels ARP-Spoofing wählen. Dabei klinkt er sich in die Ethernet-Kommunikation zwischen zwei Stationen ein und agiert dabei parallel als Gateway, damit die beiden Stationen nichts von dem Lauscher mitbekommen. Näheres über ARP-Spoofing für Man-in-the-Middle-Angriffe erfahren Sie in einem separaten Artikel.