Teil 2 - Der Angriff

Autor: olc, MCSEboard.de

Der Angriff
Nachdem alle Vorbereitungen getroffen wurden, kann der Angriff beginnen.

: Abb. 1

Schauen wir zuerst in den ARP-Cache unserer beiden Systeme (MDC01 und MMX01), die angegriffen werden. Die MAC-Adressen des jeweiligen Gegenübers sind zu diesem Zeitpunkt korrekt (siehe Abb. 1).

: Abb. 2

Auf dem Rechner MXP01, also dem Angreifer-PC, wird nun das Programm Cain gestartet Abb. 2). In der oberen Reiterleiste klickt man auf „Sniffer“, um danach den Sniffer-Modus einzuschalten (1) und per Rechtsklick in den weißen Bereich einen Scan nach MACAdressen (2) durchzuführen. Hier kann man einen bestimmten IP-Range auswählen (3) oder alle IP-Adressen des eigenen Subnetzes scannen. Nachdem alle interessanten Adressen gesammelt wurden (4), kann es weiter gehen.

: Abb. 3

Ein Klick auf „APR“ (ARP Poison Routing) auf der unteren Reiterleiste, ein weiterer Klick in den weißen, leeren Bereich in der Mitte des Fensters und ein anschließender Klick auf das blaue Plus-Zeichen „+“ im oberen Bereich öffnet ein Menü, in dem man die zu spoofenden Hosts auswählt. In unserem Fall ist es auf der linken Seite die 172.32.0.100 (MDC01) und auf der rechten Seite die 172.32.0.200 (MMX01) – (siehe Abb. 3).

: Abb. 4

Nachdem man die Auswahl der beiden Systeme durch <OK> bestätigt hat, startet man das Poisoning über einen Klick auf das gelbe APR-Symbol oben links (siehe Abb. 4). Nun beginnt das Poisoning. Nach ein paar Paketen zwischen den beiden angegriffenen Hosts ist „die Arbeit erledigt“. Man kann diesen Vorgang beschleunigen, in dem man einfach einen Ping von einem der angegriffenen Systeme auf das andere System sendet, in diesem Fall also MDC01 auf MMX01.

: Abb. 5

Schaut man sich nun die ARP-Tabelle der beiden Hosts MDC01 und MMX01 (siehe Abb. 5) an, bemerkt man das Ausmaß der Aktionen dieser wenigen Sekunden: Die ARP-Einträge auf das jeweils andere System haben sich auf die MAC-Adresse den Angreifer-PCs MXP01 geändert! Zur besseren Übersicht ist der Aufruf von „arp –a“ im alten Fenster gemacht worden, so daß man den Effekt sehr gut nachvollziehen kann. Im Abschnitt „Netzwerkverkehr“ wird der Angriff über ein Wireshark-Netzwerktraffic-Mitschnitt (Capture) noch einmal verdeutlicht werden.

An dieser Stelle wird das Prinzip des Angriffs ein wenig klarer: Es ist im Wortsinne ein „Man-In-The-Middle“ eingesprungen, der den Traffic der beiden Systeme von nun an über sich leitet. MXP01 fungiert also in diesem Moment als ein Proxy, der die Anfragen beider Systeme an das jeweils andere System entgegennimmt, verarbeitet und dann zum eigentlichen Zielsystem weiterleitet.

Exemplarisch erfolgt nun ein Zugriff von 172.32.0.200 (MMX01) auf 172.32.0.100 (MDC01) auf den FTP-Dienst als auch per SMB.

: Abb. 6

Beide Anfragen wurden vom MXP01 entgegengenommen, der die Daten analysiert und dann weiterleitet. Als Resultat kann man den FTP-Benutzernamen und das FTP-Kennwort im Klartext in Cain sehen, da die Daten bei FTP auch im Klartext übertragen werden (siehe Abb. 6). Hierzu bitte auf den Reiter „Passwords“ in der unteren Reiterleiste klicken. Bei SMB ist die Sache nicht ganz so einfach, da hier eine Verschlüsselung genutzt wird bzw. Hash-Werte übertragen werden. Die abgefangenen Daten könnten jedoch direkt in Cain an den eingebauten Cracker gesendet werden, der (genügend Rechenpower oder gute Wörterbücher vorausgesetzt) das Kennwort knacken kann.

Netzwerkverkehr
Es soll hier noch kurz auf den Netzwerkverkehr im Moment des Spoofings / Poisonings eingegangen werden, da dies den Ablauf der Attacke verdeutlicht.

Hinweis: Die 5 Wireshark-Capturegrafiken stehen als ZIP-Archiv (PNG-Format, 196 KB) zum Download bereit.

: Abb. 7

Im ersten ARP-Paket (No. 20) sendet der Angreifer-PC eine ARP-Anfrage an den MDC01. Er fragt nach dessen IP-Adresse und gibt als Absender die gefälschte IP-Adresse 172.32.0.200 an. Der MDC01 gibt seine IP-Adresse und die dazugehörige MAC-Adresse brav an den Absender MXP01 zurück (No. 21).

Nicht im Capture zu sehen, da dies auf dem MDC01 passiert: In diesem Moment speichert der MDC01 die neue Zuordnung von IP-Adresse und MAC-Adresse des MXP01 ab. Das bedeutet, daß zu der IP-Adresse 172.32.0.200 nicht mehr die MAC-Adresse des MMX01 zugeordnet ist, sondern die MAC-Adresse des MXP01. Damit landen zukünftig alle Pakete, die an die IP-Adresse des MMX01 gerichtet sind nicht beim MMX01, sondern beim MXP01.
Der gleiche Ablauf ist auch beim Spoofing / Poisoning des ARP-Caches des MMX01 nachzuvollziehen (No. 22, No. 23).

Es folgen ab Paket No. 24 bis Paket No. 82 exemplarisch noch weitere ARP-Pakete. Diese stellen sicher, daß der ARP-Cache der beiden Server auch weiterhin auf den MXP01 zeigt. Somit steht dem Sniffing diverser Daten nichts im Wege.