21 November 2007
Netzwerkueberwachung mit Ettercap
Allgemein zu Ettercap
Neulich bin ich auf sein interessantes Tool zur Netzwerküberwachung gestoßen. Es handelt sich um das Open-Source Tool Ettercap mit dem Sniffing auf IP und auf ARP-Basis, sowie Echtzeitkontrolle über Verbindungen selbst in geswitchten Netzwerken,inhaltsbezogene Filterung und aktive sowie passive Analysen von einzelnen Hosts oder ganzen Netzwerken möglich ist. Offiziell handelt es sich um ein Sicherheitstool, kann aber aufgrund seiner nahezu unbegrenzten Möglichkeiten auch für “Man-in-the-Middle” Angriffe missbraucht werden. Da Ettercap Pakete bereits auf ARP Ebene abfängt, ist es sogar möglich verschlüsselte Verbindungen zu belauschen. Trotz der gefährlichen Nachteile, eignet sich das Tool, wenn es sinnvoll angewendet wird, perpekt zur Netzwerkanalyse im eigenen Netz. Verfügbar ist Ettercap für zahlreiche Linux Verisonen, BSD Derivate, Solaris, Mac OS X wie auch Windows.
Funktionsweise von Ettercap
Ettercap arbeitet mit dem Funktionsprinzip des “ARP-Spoffing”. Hierbei werden vom Sender an das “Opfer” manipulierte ARP Pakte mit seiner eigenen MAC Adresse gesendet. So ist ein einschleusen von gefälschten Adresspaaren in den Zwischenspeicher möglich (Cache Poisoning). Da das ARP Protokoll keine weiteren Abfragen und Sicherheitsmechanismen hat, werden vom Client alle weiteren Pakete erst über den Angreifer geschickt. Der Angreifer leitet dann alle Pakte (unbemerkt) weiter an den eigentlichen Empfänger (Men-in-the-middle).
Wie kann sich gegen Angriffe mit Ettercap schützen?
Mit erscheinen von Ettercap bieten auch geswichte Netzwerke mittlerweile keinen wirklichen Schutz mehr. Es gibt allerdings möglichkeiten das sog. ARP Spoofing zu verhindern. So ist es mit statischen ARP Einträgen möglich eine Manipulation zu verhindern. Dies ist natürlich mit hohem administrativen Aufwand verbunden. Man könnte allerdings z.b. das Standart Gateway fest eintragen. Ein weiterer Lösungsansatz besteht darin, die einzelnen Host im Netz soweit wie möglich mittels eins VLANs (Virtuell LAN) zu isolieren. Da nur auf Ethernetebene ARP zum Einsatz kommt, ist es bei isolierten Hosts nicht möglich Opfer eines solchen Angriffs zu werden. Allerdings stellen die meisten gänigen Router nur eine begrenzte Anzahl von VLANs zur Verfügung, wodurch es kaum möglich sein wird, jeden einzelen Host zu Isolieren. Bei diveresn Serverhostern (z.b. Hetzner) wird diese Technik allerdings erfolgreich eingesetzt, um eben Spoofing im Servernetz nicht zu ermöglichen.
Spass mit Ettercap
Ja, man kann auch lustige Dinge mit Ettercap machen, und so seine Kollegen ärgern (ACHTUNG! Ettercap nie (!!!) im Unternehmensnetz ungefragt einsetzen, damit kann man sich mächtig Ärger einfangen!!). So Kann man quasi live Webseiten, die der Kollege aufruft manipulieren und z. B. Bilder austauschen.
3 Kommentare
ironMIKE schreibt:
sysdef schreibt:
Richtig, sie sind nicht verboten. Der Missbrauch mit sochen tools ist verboten analog wie Kuechenmesser auch nicht verboten sind. Das missbrauchliche Abstechen von Menschen damit aber schon. Deswegen sind sie auch in Diskotheken und Flugzeugen verboten.
D.h. es kommt darauf an wer das wo wie anwendet.
Das wird einem auch klar wenn man den Gesetzestext mal liesst 
Gruesse von einem ettercap nutzenden Firewalladmin 
marcus schreibt:
wie viele sicherheitstools sind diese natürlich mit vorsicht zu genießen und können natürlich auch auf verbotene Weise angewendet werden. Rechtlich spricht bei der richtigen Anwendung nichts dagegen. Um Schwachstellen im Netzwerk zu finden, ist das Tool natürlich optimal.
Einen Kommentar schreiben:
Schöner Überblick, aber sind solche Tools in Deutschland nicht verboten?