5
ganzen Netzwerkverkehr mithören nur mit Hubs ?
Hallo,
ich habe schon öfters gehört, dass es Programme geben soll, die einem den ganzen Netzwerkverkehr mitscheiden können sollen.
Meine Frage da nun ist, ob das denn nur mit Hubs funktioniert.. Ansonsten würde ich das nicht verstehen ;)
Ich kenne Ethereal und da bekomme ich halt nur Broadcast Meldungen im Sinne von "Who has 192.168... ?" usw.
Die zweite Frage ist.
Wenn zwei Rechner hinter einem Router sitzen und beide auf eine Internetseite zugreifen wollen woher weiß der Router, für wen welches Paket bestimmt ist ?
Merkt er sich welche Mac Adresse eine Anfrage zu IP xx geschickt hat ?
Vielen Dank
ich habe schon öfters gehört, dass es Programme geben soll, die einem den ganzen Netzwerkverkehr mitscheiden können sollen.
Meine Frage da nun ist, ob das denn nur mit Hubs funktioniert.. Ansonsten würde ich das nicht verstehen ;)
Ich kenne Ethereal und da bekomme ich halt nur Broadcast Meldungen im Sinne von "Who has 192.168... ?" usw.
Die zweite Frage ist.
Wenn zwei Rechner hinter einem Router sitzen und beide auf eine Internetseite zugreifen wollen woher weiß der Router, für wen welches Paket bestimmt ist ?
Merkt er sich welche Mac Adresse eine Anfrage zu IP xx geschickt hat ?
Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 11605
Url: https://administrator.de/forum/ganzen-netzwerkverkehr-mithoeren-nur-mit-hubs-11605.html
Ausgedruckt am: 18.04.2025 um 13:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo!
ja solche Programme gibt es die funktionieren auch bei switches.
Unbd zwar leiten diese Tools den Netzwerktraffic um auf sich und hören so alles mit. Dies nennt sich ARP_Spoofing und -Poisoning.
ARP stellt die Zuordnung von -IP-adressen zu Mac-Adressen fest. Wenn Client C ein Paket an Client B senden will muss er die Adresse von Client B kennen.
Um die Adresse zu efahren sendet Client C einen ARP-REQUEST per Broadcast an alle Maschinnen im Netz mit der Frage "Wer hat die IP-Adresse ...." Der Rechner mit der passenden IP-Adresse antwortet und teilt die Adresse mit. So kann der Angreifer sich als den passenden Endteilnehmer ausgeben udn die Pakete abfangen.
Es gibt allerdings auch Gegenmittel wie etwa Port-Security - Der Switch lernt jede MAC-Adresse nur einmal. und aktzeptiert keine anderen absender.
gruß chris
ja solche Programme gibt es die funktionieren auch bei switches.
Unbd zwar leiten diese Tools den Netzwerktraffic um auf sich und hören so alles mit. Dies nennt sich ARP_Spoofing und -Poisoning.
ARP stellt die Zuordnung von -IP-adressen zu Mac-Adressen fest. Wenn Client C ein Paket an Client B senden will muss er die Adresse von Client B kennen.
Um die Adresse zu efahren sendet Client C einen ARP-REQUEST per Broadcast an alle Maschinnen im Netz mit der Frage "Wer hat die IP-Adresse ...." Der Rechner mit der passenden IP-Adresse antwortet und teilt die Adresse mit. So kann der Angreifer sich als den passenden Endteilnehmer ausgeben udn die Pakete abfangen.
Es gibt allerdings auch Gegenmittel wie etwa Port-Security - Der Switch lernt jede MAC-Adresse nur einmal. und aktzeptiert keine anderen absender.
gruß chris
1) Normalerweise geht das nicht mit Switsches ...allerdings bieten einige managed Switches die Möglichkeit einen Monitor-Port zu definieren auf den der ganze Traffic geleitet werden kann.
2) Bei NAT ..merkt sich der Router von wem die Anfrage (an den Webserver) kam und gibt diesem Paket einen bestimmten Src-Port mit. Auf diesem antwortet der Webserver ...wenn die Antwort auf diesem Port eingeht, dann schaut der Router in seine NAT-Tabelle und sendet das Paket an den richtigen Client. ...ich hoffe es ist einigermassen verständlich ^^;
2) Bei NAT ..merkt sich der Router von wem die Anfrage (an den Webserver) kam und gibt diesem Paket einen bestimmten Src-Port mit. Auf diesem antwortet der Webserver ...wenn die Antwort auf diesem Port eingeht, dann schaut der Router in seine NAT-Tabelle und sendet das Paket an den richtigen Client. ...ich hoffe es ist einigermassen verständlich ^^;
Zu 1. Und die Guten Swiches können ARP Ataken erkennen und abwähren. Entweder haste eine mit Managmentport oder du must einen HUB dazwischen schalten.
Das betreffende Programm heißt tcppdump ??
Wenn ja dann habe ich mal ne Frage dazu.
Kann es sein, dass dieses Programm nur die Header abfängt.
Habe es gestern mal bei mir testweise installiert und bekam jede Menge Daten rein...
Gibt es da noch Programme, die alles abfangen ?
Wenn ja dann habe ich mal ne Frage dazu.
Kann es sein, dass dieses Programm nur die Header abfängt.
Habe es gestern mal bei mir testweise installiert und bekam jede Menge Daten rein...
Gibt es da noch Programme, die alles abfangen ?
tcpdump kann auch den kompletten verkeht lesen. Und das kann man den z.b mit ethereal auswerten.
