Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerkspoofing

Frage Netzwerke Netzwerkmanagement

Mitglied: 39263

39263 (Level 1)

02.07.2007, aktualisiert 19:32 Uhr, 3780 Aufrufe, 4 Kommentare

hallo,
folgendes:
ich habe heute morgen bemerkt, dass wir eine wirkliche große anzahl von broadcasts im firmennetzwerk haben, was mir in diesem ausmaß noch nie aufgefallen ist.
jetzt könnte es ja z.b. sein, dass jmd die mac-liste eines switches geflutet hat und nun durch den broadcast den gesamten netzwerkverkehr mitliest.
jmd ne idee wie ich das herausfinden könnte und wenn ja, wie ich das verhindern kann?
Mitglied: aqui
02.07.2007 um 14:29 Uhr
Verbinde dich auf den Switch und sehe dir seine Memory Auslastung an. CLI Befehle wie show mem oder ähnlich zeigen dir das sofort. Alternativ kannst du Memory Benutzung oder CPU Last über die SNMP OID auslesen. Programme wie SNMPRG ( http://snmprg.sourceforge.net/ ) oder ggf. PRTG helfen dir dabei.

Bei guten Switches kannst du ohne Probleme per Konfig die MAC Learning Rate per Konfig beeinflussen und solche Attacken problemlos abblocken.
Allerdings bist du einem Dekfehler aufgesessen: Wenn du den CAM Speicher des Switches geflutet hast dann kann er keine Packete mehr forwarden und das ganze Netz steht. Dann wird also im Gegensatz zu deiner Annahme nichts mehr geforwardet. Also mit Mitlesen ist dann so oder so nichts mehr.
Nebenbei nützt NUR Broadcast mitlesen rein gar nichts um relevante Daten mitzusniffern, da muss man schon etwas subtiler vorgehen ! Allerdings sagen die Broadcasts schon eine Menge über dein Netz und verwendete Applikationen aus..keine Frage...
Bitte warten ..
Mitglied: aqui
02.07.2007 um 17:42 Uhr
OK, das ist ARP Spoofing. Was ganz anderes als du oben geschicldert hast.
Jeder halbwegs gute Swicthhersteller hat da Features zu das in einem Netzwerk sicher zu unterbinden. Das gehört mit zur Standardausrüstung guter Switches heutzutage !
Bitte warten ..
Mitglied: spacyfreak
02.07.2007 um 19:32 Uhr
Ein Angreifer im lokalen Subnetz würde in der Regel Tools wie Cain oder Ethercap einsetzen um Attacken zu fahren, permanente auffallend starke Broadcasts haben in der Regel andere Ursachen. - zu viele Clients in einem Subnetz, Broadcaststorm durch einen Switch Loop (obwohl - dann geht eigentlich garnichts mehr wenn das passiert), Clients die ständig nach nem DHCP schreiben (kommt bei diversen Linux Derivten gern mal vor dass sie lauter schreiben als sie müssten).
Kann aber auch ein ausgehungerter Wurm sein der engagiert im Netz rumflutet und Opfer sucht!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...