Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerke härten mit Kali Linux

Schicht 2 des ISO/OSI-Modells untersuchen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Lassen Sie sich in diesem Video erklären, wie Sie per Netzwerkanalyse die Schicht 2 des ISO/OSI-Modells untersuchen.
09:58

Transkript

In Kali gibt es aktive und passive Discovery Tools, welche auf den Schichten 2, 3 und 4 arbeiten. In diesem Video schauen wir uns die Werkzeuge der Schicht 2, um das Netzwerk zu untersuchen. Das erste Tool, welches wir uns anschauen, ist "arping". "Arping"verwendet "ARP", das "Address Resolution Protocol", also Broadcast-Pakete, um Systeme im lokalen Netzwerk anzupingen. Dieses Tool ist schneller als herkömmliche ICMP-Pings, kann aber nur im lokalen LAN eingesetzt werden, da ARP nur im lokalen LAN arbeitet und nicht über einen Router weitergeleitet wird. Setzen wir auch so "arping" ein, um zum Beispiel unseren Domänenkontroller, den wir bereits kennen, anzupingen. Ich verwende dazu die IP-Adresse des Domänenkontrollers "192.168.10.11". Und wir sehen, wir erhalten hier die entsprechende Antwort zurück mit der MAC-Adresse. Wunderbar. Das hat bestens funktioniert. Ich wiederhole diesen Befehl. Anstelle dass ich kein Argument mitgebe, verwende ich "-c 3", damit ich 3 Pings absetzen kann und ich nicht am Schluss mit CTRL+C dieses Kommando unterbrechen muss. Um dies besser zu verstehen, was eigentlich im Hintergrund passiert, setzen wir nun "Wireshark" ein. Ich öffne also "Wireshark", das habe ich bereits vorgängig vorbereitet, und ich mache nochmals genau den gleichen Ping. Zuerst aber starten wir die Aufzeichnung auf dem Interface Ethernet0 ("eth0"), damit wir dann entsprechend das Resultat anschauen können. Sie sehen hier, die Aufzeichnung ist gestartet. Ich wiederhole nochmals den Befehl "arping". Ich möchte drei Pings absetzen. Ich navigiere zurück zum "Wireshark", und nun schauen wir uns an, was genau passiert. Damit ich die Informationen besser auslesen kann, setze ich einen Filter ein. Ich gebe folgenden Wert ein "eth.type", und Sie sehen hier entsprechend, die Vorlage ist schon gegeben, "eth.type ==" und dieser hexadezimale Wert. Dieser hexadezimale Wert ist genau ausgelegt, damit wir nur Ethernet-Pakete anschauen können. Dieser Filter erlaubt es uns, die Informationen auszulesen aus der Schicht 2. Wir sehen also die Ethernet-Frames und sonst keine Informationen. Hier den Wert bestimmen und dann diesen Filter übernehmen, und in der Tat, wir haben nun die entsprechenden Informationen. Wir sehen hier die "Source" MAC-Adresse und wir sehen hier den "Broadcast." Das hat also funktioniert, und wir sehen auch hier die entsprechenden Informationen. Nun möchte ich aber zuerst einmal wissen, welcher Ping wurde dann zuerst abgesetzt, und das sehen wir hier, der obere Ping wurde von einem anderen System provoziert, und wir haben hier unter "System" die IP-Adresse "192.168.10.112", hat einen Broadcast gemacht und hat die IP-Adresse "10.11" gesucht. Das ist immer der erste Schritt. Wenn ein Ping abgesetzt wird, dann wir auf Grund des Broadcast nach diesem System gesucht, und Sie auch hier sehr schöne Beschreibung "Who has 192.168.10.11?". "Erzähle" es dann der IP-Adresse "192.168.10.112". Genau das ist bei diesem Ping entsprechend umgesetzt worden. Wir können auch ein anderes Werkzeug einsetzen, um die Schicht 2 zu analysieren, und das ist "nmap". Mit "nmap" haben wir die Möglichkeit, ebenfalls die Schicht 2 zu analysieren. Dazu verwende ich folgenden Parameter "-PR" und dann den zusätzlichen Parameter "-sn". Bevor ich aber diese Parameter einsetze, gehe da nochmals zurück, verwende nur "nmap -h". Ich möchte Ihnen zuerst die Hilfe zeigen. Sie haben hier die Möglichkeit, sämtliche zusätzlichen Parameter für "nmap" auszulesen. Gehen Sie diese durch, sind sehr informativ, damit Sie wissen, welche zusätzlichen Parameter Sie entsprechend einsetzen können. Ich werde Ihnen diese Hilfe immer wieder zeigen. Also, machen wir die Analyse auf der Schicht 2. Ich verwende "nmap", dann entsprechend der Parameter "-PR -sn". "-PR" steht, um das Paket zu bestimmen, und "-sn", um den Port Scan auszuschalten. Und nun möchte ich über einen ganzen Range diese Analyse durchführen. Ich verwende also "192.168.10.1-" bis "255". Nun wird diese Analyse, dieser Scan wird nun durchgeführt. Und Sie sehen, wir erhalten sehr schnell ein Resultat und sehen auch sofort, dass 10 Hosts online sind. Nun haben wir also eine erste Übersicht über unser Netzwerk und sehen, welche Hosts sind online, welche können wir später ebenfalls detaillierter analysieren. Was aber wurde im Hintergrund umgesetzt? Navigieren wir nochmals zurück zum Wireshark und schauen uns die entsprechenden Informationen an. Und wir sehen ganz wenig weiter oben, wo der Ping gestartet wurde, wurde das Netzwerk geflutet mit vielen Broadcast-Informationen. Das sehen wir hier sehr schön. Ich stoppe einmal diese Aufzeichnung, damit ich ganz zum Anfang von diesem "nmap"-Scan navigieren kann. Und wir sehen hier, ist die erste Adresse, welche da umgesetzt wurde. Wir sehen hier, es startet der Scan bei der ersten Adresse, die ich bestimmt habe "192.168.10.1". Da ist der Broadcast. Und dann werden sämtliche Adressen, die ich angegeben habe, über den gesamten Range entsprechend gescannt. Sie sehen das geht da weiter mit der IP-Adresse am Schluss "2.3.4.5" und so weiter und so fort. Wir sehen also, das lokale Netzwerk wurde mit ARP Broadcast geflutet. Die Systeme, welche online sind, geben entsprechend eine Antwort zurück. Das haben wir auch hier bereits gesehen. Wenn wir da ein wenig nach unten gehen, sehen wir, welche Systeme online sind. Diese geben uns die Antwort zurück. Das hat bereits bei der IP-Adresse Nummer 1 entsprechend funktioniert. Sie sehen hier, da wurde zuerst der Broadcast abgesetzt. Die 1 ist online, gibt uns die Antwort zurück. Die Nummer 10 wurde ebenfalls gescannt. Hier wurde der Broadcast gesendet. Hier kommt die Antwort zurück. Das gleiche bei der Nummer 11. Die Nummer 11 hat einen Broadcast empfangen und gibt uns entsprechend die Antwort zurück. Das Resultat von all diesen Antworten ist dann die entsprechende Liste, die wir hier sehen können. Wir sehen also alle Systeme, welche online sind, geben uns eine entsprechende Antwort zurück. Das nächste Tool, welches ich Ihnen zeigen will, das ist "netdiscover". Mit "netdiscover" haben wir eine weitere Möglichkeit, um das Netzwerk zu analysieren. Ich verwende dazu den Schalter "-r". "-r" steht für einen Range, den ich da eingeben möchte, "192.168.10.0" und dann "/24". Dieses Tool macht im Hintergrund genau die gleiche Funktion. Es werden ARP-Broadcasts gesendet, und dann erhalten wir eine tolle Übersicht zu den gefundenen Systemen, inklusive MAC-Adresse und dann noch anschließend auch noch der Hersteller, der diese MAC-Adresse entsprechend produziert hat. Wir können diesen Scan auch passiv ausführen. Das dauert dann zwar etwas länger, aber wir werden im Netzwerk nicht wahrgenommen. Wie wir das umsetzten können, verwenden wir ganz einfach einen weiteren Parameter. Ich werde diesen Parameter anwenden, sobald dieser Scan abgeschlossen ist. Ich habe mit CTRL+C diesen Scan unterbrochen, damit wir weiterarbeiten können. Und ich möchte Ihnen den Passive Mode zeigen von "netdiscover". Ich wiederhole den gleichen Befehl, ich setze aber einen zusätzlichen Parameter ein, und das ist das "-p". "-p" steht für "Passive Mode", bedeutet also "only snitch", also nur nach Informationen suchen oder hören, aber nicht direkt aktiv sein. Das dauert dann entsprechend etwas länger, aber wir werden dann von keinem Netzwerksystem, zum Beispiel von einem ID-System wahrgenommen. Sie sehen, ich habe diesen Befehl nun ausgeführt, und wir sehen auch hier in der Beschreibung, es ist der Passive Mode. Nun müssen wir ganz einfach warten, bis mein Kali Linux System Broadcast empfängt von anderen Systemen. Dann werden diese hier entsprechend eingetragen. Das dauert zwar eine Zeit, aber ist eine sehr ruhige und tolle Variante, um passiv nach Informationen zu suchen. Ich habe Ihnen in diesem Video gezeigt, wie Sie die Schicht 2 des OSI-Layer-Modells analysieren können.

Netzwerke härten mit Kali Linux

Lernen Sie Ihr Netzwerk mit den Tools aus Kali Linux zu scannen, die Scans auszuwerten und Ihre Systeme zu härten.

4 Std. 48 min (40 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!