Kali Linux und der Man-in-the-Middle

Kali Linux

Hat man bei einem Netzwerkscan einige Clients gefunden, die man nicht so wirklich zuordnen kann, liefert oftmals eine gezielte Analyse des Datenverkehrs wertvolle Hinweise über diese. In normalen Netzwerkkonfigurationen kommt der Traffic aber nicht automatisch am Analysesystem vorbei, weshalb man eine Umleitung durch ARP Spoofing mit Hilfe von zum Beispiel der Linux Live-Distribution Kali einrichten muss. Diese vorgehensweise nennt man auch „Man-in-the-middle“ – Der „Mann“ in der Mitte. Nachfolgend erfahrt ihr was man dafür braucht und wie man es im Idealfall leicht umsetzen kann.

Was braucht man?

Als ersten Schritt muss man Kali Linux anweisen die durch das ARP-Spoofing gleich eintreffenden Pakete an das eigentliche Ziel, den Router/das Gateway, weiterzuleiten. Das bewerkstelligt man mit dem Befehl:

echo 1 > /proc/sys/net/ipv4/ip_forward

Anschließend muss man noch per arpspoof die ARP-Tabellen des Zielsystems manipulieren. In diesen ist festgelegt zu welcher MAC Adresse welche IP-Adresse gehört. Mit nachfolgendem Befehl kann man das System davon überzeugen, Pakete, die eigentlich an den Router gehen sollen, an die MAC Adresse des Analysesystems zu senden.

arpspoof -i eth0 -r -t 192.168.178.20 192.168.178.1

eth0 ist in diesem Fall die genutzte Netzwerkschnittstelle. Die Option -r bewirkt, dass der Netzwerkverkehr in beide Richtungen geleitet wird. Also vom Zielsystem, über das Analysesystem, zum Router und umgekehrt. Der Parameter -t 192.168.178.20 ist die Zielsystemadresse und an letzter Stelle (192.168.178.1) steht die Router/Gatewayadresse.

Wenn man die zwei Befehle erfolgreich gestartet hat, ist man in der Position des „Man-in-the-Middle“. Nun kann man zum Beispiel mit tcpdump einen Blick auf den durchgereichten Netzwerkverkehr werfen. Dazu braucht man den folgenden Befehl:

tcpdump -i eth0 -A host 192.168.178.20

Ist das Zielsystem also grade netzwerkmäßig aktiv, rattert nun sein Datenverkehr durch die Konsole. Wer lieber eine grafische Oberfläche hat, kann hier auch zu dem Äquivalent Wireshark greifen.

Nun müsste man unter Umständen nur noch die ganze Datenflut sinnvoll filtern. Um nur den Datenverkehr der auf Port 80 stattfindet zu sehen kann man an den obigen Befehl noch ein and port 80 anhängen.

Weitere Tools und Filter

Für weitere Filteraufgaben bringt Kali Linux noch speziellere Tools mit. So fischt das Tool urlsnarf nur HTTP-Anfragen aus dem Datenverkehr. Wer es nur auf Bilder und sonstigen Grafiken abgesehen hat, findet wahrscheinlich sehr großen gefallen an dem Tool driftnet. Nach dem Start rattern alle im Netzwerk unverschlüsselt übertragenen Bilder durch das Fenster. Wem das noch nicht reichen sollte, kann zusätzlich noch dsniff anwerfen und so Zugangsdaten für Webseiten, den Mailversand/-empfang oder zur Verbindung zu sonstigen Diensten mitschneiden. Diesen Tools sind allerdings gewisse Grenzen gesetzt und sie funktionieren nur, wenn die Daten nahezu unverschlüsselt übertragen werden oder man auf zusätzliche Tools zurückgreift.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.