39263
Jul 02, 2007, updated at 17:32:59 (UTC)
4153
4
0
Netzwerkspoofing
hallo,
folgendes:
ich habe heute morgen bemerkt, dass wir eine wirkliche große anzahl von broadcasts im firmennetzwerk haben, was mir in diesem ausmaß noch nie aufgefallen ist.
jetzt könnte es ja z.b. sein, dass jmd die mac-liste eines switches geflutet hat und nun durch den broadcast den gesamten netzwerkverkehr mitliest.
jmd ne idee wie ich das herausfinden könnte und wenn ja, wie ich das verhindern kann?
folgendes:
ich habe heute morgen bemerkt, dass wir eine wirkliche große anzahl von broadcasts im firmennetzwerk haben, was mir in diesem ausmaß noch nie aufgefallen ist.
jetzt könnte es ja z.b. sein, dass jmd die mac-liste eines switches geflutet hat und nun durch den broadcast den gesamten netzwerkverkehr mitliest.
jmd ne idee wie ich das herausfinden könnte und wenn ja, wie ich das verhindern kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62839
Url: https://administrator.de/contentid/62839
Printed on: April 19, 2024 at 02:04 o'clock
4 Comments
Latest comment
Verbinde dich auf den Switch und sehe dir seine Memory Auslastung an. CLI Befehle wie show mem oder ähnlich zeigen dir das sofort. Alternativ kannst du Memory Benutzung oder CPU Last über die SNMP OID auslesen. Programme wie SNMPRG ( http://snmprg.sourceforge.net/ ) oder ggf. PRTG helfen dir dabei.
Bei guten Switches kannst du ohne Probleme per Konfig die MAC Learning Rate per Konfig beeinflussen und solche Attacken problemlos abblocken.
Allerdings bist du einem Dekfehler aufgesessen: Wenn du den CAM Speicher des Switches geflutet hast dann kann er keine Packete mehr forwarden und das ganze Netz steht. Dann wird also im Gegensatz zu deiner Annahme nichts mehr geforwardet. Also mit Mitlesen ist dann so oder so nichts mehr.
Nebenbei nützt NUR Broadcast mitlesen rein gar nichts um relevante Daten mitzusniffern, da muss man schon etwas subtiler vorgehen ! Allerdings sagen die Broadcasts schon eine Menge über dein Netz und verwendete Applikationen aus..keine Frage...
Bei guten Switches kannst du ohne Probleme per Konfig die MAC Learning Rate per Konfig beeinflussen und solche Attacken problemlos abblocken.
Allerdings bist du einem Dekfehler aufgesessen: Wenn du den CAM Speicher des Switches geflutet hast dann kann er keine Packete mehr forwarden und das ganze Netz steht. Dann wird also im Gegensatz zu deiner Annahme nichts mehr geforwardet. Also mit Mitlesen ist dann so oder so nichts mehr.
Nebenbei nützt NUR Broadcast mitlesen rein gar nichts um relevante Daten mitzusniffern, da muss man schon etwas subtiler vorgehen ! Allerdings sagen die Broadcasts schon eine Menge über dein Netz und verwendete Applikationen aus..keine Frage...
OK, das ist ARP Spoofing. Was ganz anderes als du oben geschicldert hast.
Jeder halbwegs gute Swicthhersteller hat da Features zu das in einem Netzwerk sicher zu unterbinden. Das gehört mit zur Standardausrüstung guter Switches heutzutage !
Jeder halbwegs gute Swicthhersteller hat da Features zu das in einem Netzwerk sicher zu unterbinden. Das gehört mit zur Standardausrüstung guter Switches heutzutage !
Ein Angreifer im lokalen Subnetz würde in der Regel Tools wie Cain oder Ethercap einsetzen um Attacken zu fahren, permanente auffallend starke Broadcasts haben in der Regel andere Ursachen. - zu viele Clients in einem Subnetz, Broadcaststorm durch einen Switch Loop (obwohl - dann geht eigentlich garnichts mehr wenn das passiert), Clients die ständig nach nem DHCP schreiben (kommt bei diversen Linux Derivten gern mal vor dass sie lauter schreiben als sie müssten).
Kann aber auch ein ausgehungerter Wurm sein der engagiert im Netz rumflutet und Opfer sucht!
Kann aber auch ein ausgehungerter Wurm sein der engagiert im Netz rumflutet und Opfer sucht!
