MITM Angriff bei jeder Netzwerkstruktur möglich?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Mortuus, 24. Juni 2011 .

Schlagworte:
  1. 24. Juni 2011
    Hallo zusammen,
    ich habe eine Frage zu Man-in-the-Middle angriffen. Ich frage mich, ob diese bei allen Netzwerkstrukturen möglich sind.
    Normales ARP-Spoofing ist im Internet immer nur erklärt wenn man so eine Konfiguration hat:
    Code:
    HOST 1 --- Switch --- Standard-Gateway---Internet
 /
 /
 /
Angreifer
    Man "sagt" dem Host A einfach man selber ist der Standard-Gateway also wird alles was ans Internet geschickt werden soll an den Angreifer geleitet.

    Ist das aber auch bei so einer Konfiguration möglich? Mal abgesehen davon, dass der Angreifer nicht wirklich "in der Mitte" ist.
    Code:
    Host 1 ----- Router ---- Angreifer (Host 2)
 |
 |
 Internet
    Host 1 ist aufjedenfall als erstes mit dem Router verbunden, aber gibt es tatsächlich irgendeine Möglichkeit für den Angreifer die Daten von Host 1 erst an sich zu leiten und dann ins Internet? Mal abgesehen von so Methoden, wie die hosts Datei zu ändern. Sprich über "normales" ARP-Spoofing oder ähnlichem? Was genau wird dabei geändert, wenn es möglich ist?

    Vielen Dank.

    P.S: Nein, ich habe nicht vor irgendwas in dieser Art zu machen. Die beiden Hosts gehören sowieso mir und Zugang zum Router habe ich auch der sowieso eine Funktion hat um an Interfaces zu sniffen.
     
    + Multi-Zitat Zitieren
  3. 25. Juni 2011
    AW: MITM Angriff bei jeder Netzwerkstruktur möglich?

    Theoretisch ja.
    Bei nem Man in the Middle Angriff geht es ja darum, das man sich in den Kommunikationsweg der Daten einschleust.
    Die 2 einfachsten Möglichkeiten dazu wären:
    - Proxy einrichten, welcher vom victim genutzt wird.
    - In der Host-Datei für die bestimmte Domain die IP des Angreifenden Hosts eintragen und den entsprechenden Dienst dort simulieren bzw die gewünschten Dateien/Informationen von dort aus an die eigentliche Domain weiterreichen. Genau betrachtet auch eine Art Proxy.

    Die 2. Variante wird Beispielsweise beim Downgrade eines iPhones verwendet. Apple liefert nur Aktivierungen für iPhones aus, die mit der aktuellen Firmware versehen sind. Über die Host Datei wird ein Server vom iPhone-DEV-Team (oder besser gesagt von Saurik) für bestimmte Anfragen an eine bestimmte Apple Domain zu ner falschen IP geschickt und nicht zu Apple selber. Hat man vorher den Aktivierungscode via Cydia dort hochgeladen, wird eine Fake-Aktivierung zurückgeschickt und das iPhone ist aktiviert.
    Da dies IP basiert ist, spielt es keinerlei Rolle, ob es eine IP im LAN ist oder im Internet.

    Jedoch wie du bereits sagtest, suchst du andere Alternativen. Hier kommt Variante 1 zum tragen.
    Würde man Beispielsweise einen SOCKS5 installieren, welcher vom Victim genutzt wird, würde der gesamte Datenverkehr über den Atacker-Host gehen. Hierbei hat man alle Daten zur Hand. Diese könnte man mitschneiden.
    Den Möglichkeiten sind hierbei keine großen Grenzen gesetzt. Du könntest den gesamten Datenverkehr mitschneiden, SSL-aufrufe nur Zulassen, wenn SSL weggelassen wird und erst ab dem Atacking-Host auf SSL umstricken, wodurch du beim mitschneiden/manipulieren die gesamte Kommunikation im Klartext hättest, ausgewählte Daten manipulieren, usw.
    Jedoch ist diese Variante natürlich Rechenintensiver, da der gesamte Datenverkehr über den Host geht.

    Diese Varianten beziehen sich auch nur auf Connections, die von einem EndnutzerPC an einen Server gesendet werden und das Victim der EndbenutzerPC ist.

    Anders schaut es aus, wenn man direkten Zugang auf nen Server hat. Hier ist es beispielsweise Möglich ne Portumleitung zu machen. Dies kann sich auf den Server selbst beziehen, also Port wird auf dem Server selber auf Port B umgeleitet. Macht Sinn, wenn man ne localhost connection vortäuschen will (Ist jedoch keine MITM Attack) oder aber man lässt den Port auf nen anderen Server umleiten´. Dies wäre jedoch nur dann eine MITM Attack, wenn nach dem loggen/manipulieren der Daten auf den Server zurückgeleitet werden würde. Hierzu wäre eine sensible Config nötig.

    DNS Spoofing kann einem auch zum Ziel bringen.

    Die Einsatzmöglichkeiten sind vielseitig und immer von der Konstellation Victim-Attacker-Server abhängig. Dennoch ist immer das Problem gegeben, wie man sich in den Kommunikationsweg einschleust. Denn grob beschrieben, ist ein MITM-Attack nichts anderes als einschleusen des Attackin-Host in den direkten Kommunikationsweg zwischen Client und Server.

    EDIT:
    Da du ja sagtest, das du sowohl auf Victim, Router und Attacker Zugriff hast, ist mir nach absenden des Posts noch eine weitere Variante eingefallen, die realisierbar ist, sofern dein LAN DHCP nutzt, bzw. der VictimRechner sich Gateway, DNSserver und IP beim Router holt.
    Deaktivier im Router die DHCP funktion und setz auf dem Attacking-Host nen DHCP-Server auf. Der Attacking-Host muss dann als DHCP-Server, DNS-Server und Gateway für den Victim-Host fungieren und schon bist du im Kommunikationsweg und hast damit deine MITM-Position als Attacker.
     
    + Multi-Zitat Zitieren
  4. 25. Juni 2011
    AW: MITM Angriff bei jeder Netzwerkstruktur möglich?

    Erstmal vielen Dank für die umfangreiche und wirklich sehr gute Erklärung!

    Inwieweit wird dafür denn Zugriff auf den Victim Rechner benötigt?

    Variante 2: In der Host Datei des Victim Rechner kann man nur zugreifen, wenn man kompletten Zugriff drauf hat oder einen Virus einschleust. Da beides mit laufender "brain.exe" nicht passieren sollte, wenn ein fremder Zugriff haben will, kann jemandem sowas dann im Normalfall nicht passieren über diese Methode (denke ich )

    Variante 1: Funktioniert auch nur wirklich mit dem Zugriff wie ich ihn habe. Einfach sich als "Proxy" bei fremden Rechner einstellen sollte auch kaum Möglich sein außer über Viren.

    Naja das hört sich jetzt doof an, aber irgendwie habe ich immer das Gefühl man muss sich rechtfertigen, wenn man sowas fragt... meine Intention ist etwas zu lernen und über Angriffsmöglichkeiten zu erfahren, nur so kann man lernen diese auch abzuwehren und da ich diese Struktur zuhause habe ist mir dieses Beispiel eingefallen ;-).

    Interessantes Beispiel .

    Sowie ich das immer verstanden habe bei anderen Angriffen, wird die SSL/TLS Verbindung einfach unbemerkt mit dem Angreifer hergestellt. Da der Angreifer dann den Handshake mit Ciphersuite usw. aushandelt kann er diese sowieso entschlüsseln und die Verbindung dann an den echten Server weiterleiten. Also weiterleiten meint jetzt natürlich eine zweite SSL/TLS Verbindung herstellen mit dem "echten Server" und dort einfach den (manipulierten) Payload des Victims verschicken.

    OK, das ist auch eine interessante Möglichkeit. Funktioniert praktisch gesehen, aber auch nur mit den Zugriffen die ich habe. Ein Fremder hätte da dann nicht wirklich eine Chance sofern er nicht das Router Passwort herausfindet oder es irgendeinen Exploit für den Router gibt. DHCP Spoffing war bei mir bis jetzt immer direkt in Verbindung mit WLANs dort ist DHCP Spoofing deutlich einfacher realisierbar.
     
    + Multi-Zitat Zitieren
  5. 25. Juni 2011
    AW: MITM Angriff bei jeder Netzwerkstruktur möglich?

    Es ist jetzt die Frage, wie du deine Konfiguration verstehst...
    Code:
    Opfer (192.168.1.2) ----- Router ---- Angreifer (192.168.78.2)
 |
 |
 Internet
    Dann würde zum Beispiel schonmal die Methode des ARP-Spoofing wegfallen, da die Anfragen über Broadcast versendet werden..
    Und da Broadcast Nachrichten nur für das Subnetz bestimmt sind, werden diese vom Router logischweise nicht geroutet...
    Deshalb wäre auch die von meister1710 im Edit beschriebene Methode mit dem DHCP-Server nicht möglich, da dies ebenfalls via Broadcast geschieht..

    Du könntest höchstens den DNS-Cache manipulieren oder einen Proxy einrichten oder ähnliches..
    Aber über Broadcast kannste das alles knicken..
    Sprich zB Tools wie ettercap würden nicht funktionieren...

    Du darfst die Funktion eines Routers nicht mit der des "Routers" zu Hause verwechseln..
    Denn das was man für den Hausgebrauch als Router bezeichnet, ist eigentlich ein Switch und ein Router..

    Code:
    Opfer (192.168.1.2) ----- Switch ---- Angreifer (192.168.1.3)
 |
 |
 Router (192.168.1.1)
 |
 |
 Internet
    Dann wäre das alles wieder möglich, da du ja dann das gleiche hast wie in deiner Zeichnung 1...
    Denn dann würden die Broadcast Packete ja an den Switch gehen und dieser würde sie an das gesamte Netz (also auch an das Opfer) verteilen...

    MfG
     
    + Multi-Zitat Zitieren
  6. 25. Juni 2011
    AW: MITM Angriff bei jeder Netzwerkstruktur möglich?

    Dann meinte ich eher diese Struktur. Hmmm dann würde also ARP-Spoofing rein theoretisch bei mir funktionieren. Ich kann mir das aber irgendwie schlecht vorstellen. Der Angreifer muss sich dann als Standard Gateway ausgeben für das Opfer. Aber das Opfer bezieht ja zuvor erstmal die IP vom Router bzw. von dessen DHCP Server. Dann muss aber der Angreifer doch ein ARP Paket schicken in dem drin steht, dass die IP 192.168.1.1 seine MAC jetzt ist (also glaubt dann im Prinzip das Opfer, dass die MAC sich geändert hat vom Router oO ???), damit das Opfer die Daten jetzt immer an den Angreifer schickt. Der Switch und Router ist ja in einem Gerät, dass der Angreifer Daten über dieses Gerät schneller sendet als das Gerät selber ist für mich vom Denken her nicht möglich.
    Aber fällt dem Router das nicht auf wenn er ein ARP Paket weiterleitet in dem sich jemand als Router ausgibt? Wobei für die Kommunikation innerhalb des Netzes wird wohl nur der Switch des Gerätes angesprochen denke ich.

    Hab da gerade eine kleine Denkblockade.
    Also so wie ich es jetzt verstanden habe zusammengefasst: Der Router arbeitet in Wirklichkeit innerhalb des Netzes nur als Switch, also auf Layer 2, und daher kann jemand mithilfe von ARP Spoofing sich als Router/Standard Gateway ausgeben ohne das der Router es mitbekommt.

    Auch dir vielen Dank!

    P.S: Ein Beitrag ist noch nicht freigeschaltet.Der müsste sich später zwischen euren beiden Posts quetschen ;-).
     
    + Multi-Zitat Zitieren
  7. 26. Juni 2011
    AW: MITM Angriff bei jeder Netzwerkstruktur möglich?

    Wie ich schongeschrieben habe, ist ein MITM-Attack immer von den gegebenheiten abhängig. Du hast Zugriff auf Router, Attacker und Victim, wodurch du alle Möglichkeiten offen hast.
    Hättest du nur auf den Attacking-PC Zugriff, müsstest du schauen, wie du dich in den Kommunikationsweg erschummelst.

    Hier ist es dann nötig möglichst viele Informationen zu sammeln. Bei deinem Beispiel das du den Attacker im sitzen hast, machts näturlich einfacher. ARP-Spoofing ist ein Variante. Wenn man keinen Zugriff auf den Router hat, könnt eman auch versuchen die DHCP Anfrage an den Router zu manipulieren oder ungültig zu machen und mit einem eigenen DHCP-Server zu ersetzen. Ein Dos auf den Router (sofern möglich) würd den schonmal lahmlegen und den weg für den eigenen DHCP frei machen. Alternativ kann man versuchen mit IP- und MAC-Faken einen Error beim Victim während der DHCP-Verbindung zu provozieren. Wenn man 2 LAN-Karten im Rechner hat, würde man eine mit dem DHCP-Service bestücken (mit fester IP) und die andere KArte würde eine gefakte MAC und IP bekommen, die mit dem Router identisch ist. da keine 2 Hosts die slebe MAC und IP haben können, sollte die DHCP-Abfrage fehl schlagen und dein DHCP-Server ist der akzeptierte DHCP im LAN. Nutz das Vctim dann deinen Host als DNS und Gateway kann die andere LAN-Card deaktiviert werden, so das du den Datenverkehr auch ins Netz schcken kannst.

    Aber auch nur eine von vielen Möglichkeiten. Die MITM-Atack selber ist nicht so schwierig, den entsprechenden Zugang/in den Kommunikationsweg zu kommen gestaltet sich meist als die schwerere Aufgabe.
     
    + Multi-Zitat Zitieren
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten