Nachdem ich mein ENC28J60-Ethernet-Breakout mit der UIPEthernet-Bibliothek am Laufen hatte, dachte ich über kreative Spielereien damit nach. Dabei erinnerte ich mich daran, daß vor vielen Jahren einmal ein falsch programmiertes Netzwerkgerät das gesamte Netzwerk(segment) meines damaligen Arbeitgebers lahmlegte. Das Gerät antwortete einfach auf alle ARP-Requests mit der eigenen MAC-Adresse, sodaß bald alle Ethernet-Pakete nur noch an dieses Gerät gesendet wurden. Mit dem angehängten Sketch und dem gepatchten uip_arp.c in der Bibliothek könnt auch Ihr Eurem lokalen Netzwerk beim Zusammenbrechen zusehen. Viel Spaß dabei!
Wenn man nur kleine Switches (=nicht managebar) hat, reicht eigentlich auch ein ARP-Beschleuniger. Dazu einfach zwei Ports miteinander verbinden. Broadcasts (typischerweise ARPs) bringen dann das Loopkabel zum (virtuellen) Glühen...
Das muß ich mal probieren. Ob sich ein Switch dagegen schützen kann und ob das von der Eigenschaft "managed" (außer über den Preis) abhängt, ist mir gar nicht klar. Auf Ethernet-Ebene gibt es ja kein Time-To-Live... Manche werben ja mit "Broadcast-Storm-Detection". Eine andere Anwendung für Ethernet am Arduino könnte eine MAC-Overflow Attack sein, damit man mit EtherReal oder tcpdump mehr zu sehen bekommt. Ich werde versuchen, die ARP-Bombe per Interrupt zu treiben, damit ich auch mit 10MBit schneller bin als die meisten anderen Geräte, falls UIPEthernet das zuläßt. MAC-Overflow muß ich aber auch noch probieren...
Ich stelle mir sowas in sehr klein vor, d.h. maximal in der Größe eines USB-Sticks. Wenn man das bei einer Besprechung beim Kunden unauffällig in einer Dose im Bodentank hinterlässt ... Auweia, mein etwas devianter Humor erzeugt gerade Kopfkino.
Einen Arduino Mini mit hübsch klein integriertem ENC28J60 gibts bei Ebay für 10 bis 12 Euro... Wird dann wahrscheinlich die 3.3V-Variante mit 8MHz sein. Wie lange das wohl mit 3 AAA-Batterien läuft?
Sag mal warum heissen in diesem Thread bisher alle Georg oder Gregor? Ist das Zufall, oder will hier jemand seine Arduinos bei Ebay promoten?
>Ich stelle mir sowas in sehr klein vor, d.h. maximal in der Größe eines >USB-Sticks. Wenn man das bei einer Besprechung beim Kunden unauffällig >in einer Dose im Bodentank hinterlässt ... Auweia, mein etwas devianter >Humor erzeugt gerade Kopfkino. komischer Humor.
Na ja, für diese Aktionen findet man im Buch "Wie gewinne ich Freunde" sicher keinen Eintrag.
@Bernd: Ich bin mit den Georgen nicht verwandt oder verschwägert, und meinen Arduino behalte ich. :) @Schorsch: Ich erwähnte meine Devianz ja schon und ?!?, nein, eine halbe Stunde ist bei mir ganz sicher nicht genug.
Gregor Ottmann schrieb: > und ?!?, nein, eine halbe > Stunde ist bei mir ganz sicher nicht genug. Ich meinte natürlich täglich :-D
Namensänderungen gibt es auch nicht auf der Ledercouch, sondern beim Standesamt.
Ooops, die Arduino-IDE hat kein Auto-Save, grr.
Na dann probier mal das AVRStudio: Beitrag "Re: Arduino Library unter Atmel Studio 6.2" Außerdem musst Du nicht mehr so lang warten, bis das Kompilieren fertig ist!
> Ob sich ein Switch dagegen schützen kann und ob das von der Eigenschaft > "managed" (außer über den Preis) abhängt, ist mir gar nicht klar. Die Managed Switches haben eigentlich immer Spanning Tree (STP) aktiviert (bzw. aktivierbar), das sowas wirkungsvoll verhindert. > Manche werben ja mit "Broadcast-Storm-Detection". Bei einem Switch, den ich damit gesehen habe, war das Netzwerk dann trotzdem seeehr zäh. Er hat wohl nur ein paar der Broadcasts weggeworfen...
GANZISCH schrieb im Beitrag #3815167: > nur für den fall, dass inhalte hier gelöscht werden - was hier stand > offizell - ich habs als pdfs diese seitenbeiträge. also mod, gib dir > keine mühe-die inhalte kommen wieder -wetten dass??? und scheinbar gibts > soviele trottel hier im Forum, dass sie sich das auch downloaden-- naja > - soviel zum thema internetforum.. Kannst du mal aufklären, was du meinst? Und warum dieser Agro-Ton? Dieser Unfug hier ist Kinderkacke. Wer sabotieren möchte, erreicht mit weniger mehr. Zusätzlich wird das in den meisten ernst zunehmenden Firmennetzwerken auch nicht funktionieren, da der Switch den Port sperrt. Firmen, die mit 9,95 DLink-Schrott arbeiten, ist ehe nicht mehr zu helfen. Jemand der sich wirklich mit der Protokollebene beschäftigen möchte, installiert sich Nemesis und ihm steht damit die Power aller Protokolle zur Verfügung. http://insecurety.net/?p=54 Gab es früher auch in Debian Repo. Vorausgesetzt, er ist intellektuell in der Lage diese Power zu begreifen und umzusetzen. Dann hat er damit eine potentielle Waffe in der Hand. Für vieles andere stehen auch Module für Phyton zur Verfügung.
:
Bearbeitet durch User
Marek Walther schrieb: > Kannst du mal aufklären, was du meinst? Und warum dieser Agro-Ton? ABomBastisch = SuperCool = GANZISCH ist einer unserer Forentrolle. Er regt sich leicht auf...
bei meinen Cisco Kisten verhindert man solche Broadcast Stürme z.B. so (am Access Interface) storm-control broadcast level 4.00 storm-control action shutdown Übersteigen die Broadcasts 4 % des Netzwerkverkehrs, wird das Interface automtisch disabled Grüße, egberto
> Übersteigen die Broadcasts 4 % des Netzwerkverkehrs, wird das Interface > automtisch disabled Dann ist der Port bis zum naechsten Switchreboot oder einer manuellen Konfiguration tot. Klingt auch lustik... Mit einem kleinen Taschenstoepsel der Reihe nach die Wanddosen beackern... Ich werd das wohl mal auf einen von meinen (Hitek-)Comsticks tun und mit zum $KUNDEN nehmen :-)
... schrieb: > Mit einem kleinen Taschenstoepsel der Reihe nach die Wanddosen > beackern... Klar. Aber ohne diese Massnahme ist das ganze Netz tot. Mit dieser Massnahme ein Port nach dem anderen. Du kannst auch mit einer Schusswaffe durch die Gänge gehen, und deine Kollegen erledigen. Geht alles, letzteres ist besonders nachhaltig. Strafbar ist beides. Das geht auch ohne Intelligenz. Brauchst nur ein kurzes Patchkabel. Und verbindest 2 Ports miteinander. Wenns ein Cisco Switch ist, dann ist einer der Ports anschliessend genauso tot, weil er bei eigehenden BPDUs abschaltet. Man kann diese Massnahmen alle abschalten. Nur löst das kein Problem sondern verlagert es, macht es schlechter identifizierbar.
egberto schrieb: > bei meinen Cisco Kisten verhindert man solche Broadcast Stürme z.B. so > (am Access Interface) > > storm-control broadcast level 4.00 > storm-control action shutdown Das Programm von oben "ARP-Bombe" sollte sich damit nicht beeinflussen lassen. Es wird ja kein broadcast storm ausgelöst. Er beantwortet nur alles anfragen und das ist mehr oder weniger normal. Man müsste einstellen, das an den Port nur eine MAC zugelassen ist.
Peter II schrieb: > Man müsste einstellen, das an den Port nur eine MAC zugelassen ist. Geht ja auch, zumindest bei besseren Switches. Nur hat man es dann solchen Idioten zu verdanken, wenn der Verwaltungsaufwand steigt, der IT Betrieb teurer wird und die Anwender für jeden Kleinscheiss einen Admin brauchen, weil sie ohne den ihren PC nicht mal in die Anschlussdose daneben stecken können.
An mögliche Nachahmer: Wenn die betroffene IT-Abteilung etwas taugt, dann habt ihr recht bald einen Admin an der Backe, mit rechtlichen Folgen. Mit Netzmanagement fliegt das nämlich schnell auf. Also macht das lieber beim Freund oder zu Hause. Das gibt dann bloss Haue.
... schrieb: > Mit einem kleinen Taschenstoepsel der Reihe nach die Wanddosen > beackern... > > Ich werd das wohl mal auf einen von meinen (Hitek-)Comsticks tun > und mit zum $KUNDEN nehmen :-) Dann nimm noch das Ding auf dem angehängten Foto mit und mach die Schuko-Dosen auch gleich aus. Dann können wir wetten ob der Admin schneller ist oder der Hausmeister... (das Bild ist von Conrad Electronic)
A. K. schrieb: > An mögliche Nachahmer: Wenn die betroffene IT-Abteilung etwas taugt, > dann habt ihr recht bald einen Admin an der Backe, mit rechtlichen > Folgen. wie so rechtliche folgen, es war einfach ein Software fehler - kann ja mal passieren ... > Mit Netzmanagement fliegt das nämlich schnell auf. Auch ohne Netzmanagement merkt man das, dann es geht ja nichts mehr.
Es gibt verschiedene Lösungen für das Problem. Man muss dabei allerdings immer bedenken, dass die Kanonen für die Spatzen auch groß genug sind. In kleinen Firmen werden von mir meistens einfache 1G Switche mit Looperkennung eingesetzt. Die bieten für solch einen Angriff sicherlich keinen Schutz, dafür werden immer nur die Dosen gepatcht, die auch extern beschaltet sind. Also muss der Angreifer immer schön unter den Tischen der Damen rumkrabbel und für den Angriff einen PC abziehen. Ist zwar nicht perfekt, aber günstig und effektiv. Dann gibt es in größeren Unternehmen halt HP Procurve oder Cisco Switche, die auch solche Angriffe auf Layer 1 und 2 erkennen und betroffene Ports deaktivieren. Auch solches ARP-Response-Flodding kann von manchen Switchen erkannt werden, da diese i.d.R lernen wer an welchem Port hängt oder das sinnlose Fluten und Spoofing generell unterbinden. Das die Ports dann nacheinander aussteigen ist i.d.R auch kein Problem, da der Switch das mittels SNMP an seinen Admin vom Dienst petzt. Mit einer aktuelle Netzwerkkarte(Plan) und der Reihenfolge der ausgefallenen Dosen sollte sich dann auch der Weg des Angreifers nachverfolgen lassen. Die Ports müssten sich auch per CLI, SNMP oder Webinterface wieder aktivieren lassen. Die nächste Eskallierungsstufe wäre dann die Switche mit Radius zu betreiben und nur Clients die sich authentifizieren konnten den Zugriff auf das Netzwerk zu erlauben. Klappt aber wohl nur mit Windows Clients und der Switch muss dann auch ein DHCP-Relay bereitstellen.
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.