Moin Leute,
und zwar habe ich so Null Erfahrung mit Wireshark.
Ist es damit möglich besuchte Seiten damit abzufangen?
Z.b. Gerät XY hat während des Captures Seite XY besucht?
Bedanke mich für jede Hilfe im voraus =)
Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
Theoretisch könntest du im Wireshark die DNS Anfragen abfangen/filtern oder die IPs nach den Domains aus den HTTP requests reverse abfragen.
(Vorraussetzung für das Mitlesen der Pakete (DNS & HTTP Protokoll) der Teilnehmer im gleichen Netz ist natürlich ein MITM Angriff)
Ohne Wireshark:
Mit dem Tool "Bettercap" gehts auch, kannst den output in logfiles speichern fürs eine spätere Auswertung
ps: Grundsätzlich geht natürlich alles auch ohne Tools direkt in Wireshark Einfach hier oder auf Google nach der Lösung suchen.
Beispiel Screenshots:
Bearbeitet von m0nk3y, 30 January 2018 - 10:43 Uhr.
Genau, so lange kein VPN oder ähnliches benutzt wird ist es möglich die Captures nach DNS Abfragen und Verbindungen zu Webseiten zu durchsuchen.
Kleine Ergänzung:
(Vorraussetzung für das Mitlesen der Pakete der Teilnehmer im gleichen Netz ist natürlich ein MITM Angriff)
Wireshark braucht keine MITM Position. Es müssen nur die Pakete an deinem Netzwerkadapter vorbei gehen. Das Tool kann dann auch Pakete mitlesen, die eigentlich nicht für dich bestimmt sind aber an deiner physischen Schnittstelle vorbei gehen.
Also z.B. gleiches WLAN oder auf der Ethernet Leitung zwischen Opfer und Router (so lange kein Switch dazwischen ist, der dir nur Pakete zustellt, die zu dir gehören).
Wireshark braucht keine MITM Position. Es müssen nur die Pakete an deinem Netzwerkadapter vorbei gehen. Das Tool kann dann auch Pakete mitlesen, die eigentlich nicht für dich bestimmt sind aber an deiner physischen Schnittstelle vorbei gehen.
Also z.B. gleiches WLAN oder auf der Ethernet Leitung zwischen Opfer und Router (so lange kein Switch dazwischen ist, der dir nur Pakete zustellt, die zu dir gehören).
Jap, aber das wären dann nur die z.B. ARP Requests oder Broadcasts, also alles bis OSI Layer 2.
Oder liege ich falsch?
HTTP, DNS, SMTP, FTP (Layer 5-7) Anfragen werden doch nicht mit dem ganzen Netz geteilt?
also Situation ist die folgende;
Sind alle in einem Netz per WLAN und LAN an einer Fritzbox angeschlossen. Also theroretisch müsste ich doch ganz easy den Verkehr mitlesen können oder?
Nur wenn die Pakete an dich adressiert sind, ansonsten natürlich nicht (abgesehen von den Unteren OSI Layern).
Dafür brauchs du dann den ARP Spoof, um vorzutäuschen das du das Gateway (bzw. die FritzBox) bist. Dann senden alle Teilnehmer an dich, und du musst dann den Request und die Antworten weiterleiten, sonst kommt beim Victim nichts zurück.
Kuck dir mal Ettercap/Bettercap und MITMf an.
Falls allgemeines Interesse besteht, kann ich dazu auch ein beginner/advanced Tutorial Thread erstellen
Bearbeitet von m0nk3y, 31 January 2018 - 12:23 Uhr.
Jap, aber das wären dann nur die z.B. ARP Requests oder Broadcasts, also alles bis OSI Layer 2.
Oder liege ich falsch?
HTTP, DNS, SMTP, FTP (Layer 5-7) Anfragen werden doch nicht mit dem ganzen Netz geteilt?
Alles was auf der Leitung ist kann abgehört werden. Auf welchem Layer das ist ist komplett egal, da jedes Layer am Ende wieder in Layer 1 Paketen verpackt auf der Leitung ist. Ob da jetzt noch ein TCP Header oder ein HTTP Header dabei ist ist ja egal. Probleme bekommt man erst bei Verschlüsselung (z.B. TLS/SSL oder VPN).
also Situation ist die folgende;
Sind alle in einem Netz per WLAN und LAN an einer Fritzbox angeschlossen. Also theroretisch müsste ich doch ganz easy den Verkehr mitlesen können oder?
Alles was nicht verschlüsselt ist könnte möglich sein. Kommt allerdings auch auf deine WLAN-Karte und den dazugehörigen Treiber an und auf eventuelle Router/Switches, die den Verkehr vielleicht an dir vorbei leiten.
Alles was auf der Leitung ist kann abgehört werden. Auf welchem Layer das ist ist komplett egal, da jedes Layer am Ende wieder in Layer 1 Paketen verpackt auf der Leitung ist. Ob da jetzt noch ein TCP Header oder ein HTTP Header dabei ist ist ja egal. Probleme bekommt man erst bei Verschlüsselung (z.B. TLS/SSL oder VPN).
Alles was nicht verschlüsselt ist könnte möglich sein. Kommt allerdings auch auf deine WLAN-Karte und den dazugehörigen Treiber an und auf eventuelle Router/Switches, die den Verkehr vielleicht an dir vorbei leiten.
Ich weiß nicht welches Netzwerk du meinst, denn solange du kein Router darstellst oder kein HUB flooding machst, welcher dann aus Speichernot ein Broadcasting macht, seh ich das anders.
Wozu hat man denn das ARP Verfahren, Broadcasts, MITM Angriffe usw ...
Wenn jeder einen Broadcast los schickt, in einer Firma mit 254 Leuten im geichen Subnet, ist die Leitung sowas von tot
Bearbeitet von m0nk3y, 01 February 2018 - 23:10 Uhr.
Ich meine z.B. WLAN (
, ) oder Ethernet. ARP-Flooding und co werden z.B. benötigt, wenn der Traffic durch einen Switch nicht bei dir ankommt sondern direkt zum Router geschickt wird. Mit der MITM Position ist auch noch mehr möglich wie z.B. SSLstrip oder das manipulieren von Traffic.
Da das sniffen passiv ist, kann es nicht durch ein IDS entdeckt werden. Bei ARP-Spoofing ist das zum Beispiel schnell an den ARP-Tabellen erkennbar und löst dann einen Alarm aus.
Und was du mit dem Broadcast meinst weis ich nicht... Warum sollten 254 Pakete an 255.255.255.255 ein Netz zum erliegen bringen?
Thema | Forum | Themenstarter | Statistik | Letzter Beitrag | |
---|---|---|---|---|---|
Xbox One Netzwerkverkehr mit Wireshark mitschneiden |
Hilfe / Fragen / Unterstützung | zGon |
|
|
|
ICMP-Packete (Ping) über Wireshark sniffen |
Hilfe / Fragen / Unterstützung | tschilben |
|
|
Mitglieder: , Gäste: , unsichtbare Mitglieder: