AW: Eingehende Anfrage das PW herrausfinden
Na dann mal los
Mittels ARP Poisoning kann man den gesamten Netzwerktraffic eines Gerätes über den eigenen Rechner umleiten. Nimmt man also den Traffic deines Linuxservers als Beispiel, dann nimmt dieser in der Regel diesen Weg, um über das Internet zu kommunizieren: Server -> Router/Gateway -> Internet. Wenn du nun ARP Poisoning einsetzt, sieht es wie folgt aus: Server -> dein Rechner -> Router/Gateway -> Internet. Um es etwas zu veranschaulichen, hilft dieses Bild:
Ich nehme mal an, dass du Windows einsetzt, daher benötigst du folgende Programme:
1. Cain & Abel (
; wenn der Virescanner anspringt, ignorier es einfach)
2. Wireshark (
)
Cain & Abel ist in diesem Fall nur für das ARP Poisoning zuständig, auch wenn es deutlich mehr leisten kann. So können z.B. Passwörter aus dem Traffic ausgelesen (nur die gängigen Protokolle, wie http, ftp, telnet, smtp, usw.) und VoIP Telefonate mitgeschnitten werden. CCcam "spricht" das Programm leider nicht, daher wird Wireshark benötigt. Wireshark zeichnet den gesamten Netzwerktraffic auf, der über den eigenen Rechner läuft. Die Protokolle spielen hier keine Rolle, so dass auch der Traffic der Traffic der CCcam angezeigt wird, wenn mit ARP Poisoning gearbeitet wird.
Konfiguration
Cain & Abel:
Das Video auf dieser Website sollte selbsterklärend sein: Link veralten (gelöscht)
Wireshark:
Im Prinzip muss hier nichts konfiguriert werden. Es gibt die Möglichkeit Filter zu verwenden, diese können aber auch nach einem Traffic-Mitschnitt angewendet werden. Um die Aufzeichnung zu starten, muss unter 'Capture' das LAN Interface ausgewählt werden, das mit dem Netzwerk verbunden ist. Der Startbutton rechts daneben startet die Aufzeichnung.
Durchführung
Zuerst muss Cain & Abel konfiguriert und das ARP Poisoning gestartet werden (siehe Video). Danach kann die Aufzeichnung mit Wireshark gestartet werden. In der Regel reicht es aus, die Aufzeichnung ca. eine Minute laufen zu lassen, um den Traffic der CCcam aufzuzeichnen.
Auswertung
Die Auswertung des Traffics erfolgt vollständig in Wireshark. Um die CCcam Pakete zu finden, gibt es zwei Möglichkeiten:
1. Filter definieren (Anleitung:
)
2. Manuell die Pakete suchen, die als Zieladresse die IP des Linuxservers haben und als Zielport den von dir eingerichteten Port der CCcam.
Wenn du ein Paket gefunden hast, klick darauf. Im unteren Bereich des Wiresharkfensters siehst du nun den Inhalt. Dort gibt es unter anderem den Punkt 'Data'. Das ist der interessante Teil, der aus einer langen Buchstaben- und Zahlenfolge besteht. Leider ist das dann auch der Teil, an dem der Spaß zuende ist, denn darin sind u.a. Benutzername und Passwort verschlüsselt. Diese Daten sollten nur bei der ersten Anfrage eines Clients in dem Paket vorhanden sein. Da deine Clients jedoch ständig mit Benutzername und Passwort anfragen und abgelehnt werden, stecken diese Daten wahrscheinlich in jedem CCcam Paket, was von außen hereinkommt.
