Hi werte Gemeinde,
habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.
Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.
Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.
Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.
Meine Frage:
Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?
Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.
Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.
Grüsse
Epi
Heimnetzwerke - WIFI, LAN, Router und Co 16.517 Themen, 81.100 Beiträge
Hallo Epigenese!
Damit wir uns richtig verstehen:
Ich wüßte keine Möglichkeit für ein Rootkit oder Trojaner, allein anhand des Datenstromes herauszufinden, ob jemand die IP-Pakete mitliest, wenn es sich NICHT selbst auf dem Rechner befindet, wo das Analysetool eingesetzt wird. Die Header der IP-Pakete können nicht beliebig geändert werden, wenn sie ihren Weg über den Gateway ins Internet und zum Rechner des Hackers finden sollen - der in den meisten Fällen natürlich nicht sein eigener Rechner sein wird!
Ein Beispiel kann man im Link sehen, den ich dir gepostet habe, dort wird durch das Mitloggen der IP-Pakete der FTP-Server des Hackers ausfindig gemacht.
Befindet sich das Schadprogramm jedoch auf dem Rechner, auf dem du das Analysetool einsetzt, so KÖNNTEN (!) entsprechend programmierte Routinen meiner Meinung nach sehr wohl herausfinden, ob der Netzwerkverkehr über bestimmte Treiber von Softwareprodukten (WinPcap für Wireshark, Proxy-Server einer Desktop-Firewall) läuft. Diese Treiber klinken sich in die Windows-Netzwerkverbindungen ein. Und die Treiber als auch die darauf zugreifende Software läuft in der Windows-Umgebung, welche wiederum in Teilen von einem Trojaner kontrolliert und manipuliert werden kann.
Ob es so etwas für Wireshark schon gibt, weiß ich nicht, ich bin mir aber sicher, dass diese Methode für das Aushebeln von Desktop-Firewalls gangbar wäre, ebenso wie es möglich ist, Abfragen an das Dateisystem in Windows zu manipulieren, um Dateien von Schadprogrammen zu verstecken (Stichwort: Kernel-Rootkits).
Eine andere Möglichkeit für die Hacker wäre, die IP-Pakete zu verschlüsseln, du kannst den Inhalt dann nicht mehr auslesen. Diese Methode ist aber recht auffällig, denn dann bekommst du auch als Laie mit einem IP-Logger schnell mit, dass da etwas nicht stimmen kann mit den verschlüsselten Paketen, sofern du nicht noch getunnelte Verbindungen (VPN-Verbindungen) durch deine Netzwerkkarte laufen hast. Die IP-Header können auch nicht einfach verschlüsselt werden, wenn die noch durch die NAT deines Routers/Gateways laufen müssen.
Anhang:
"fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt."
Rein theoretisch, wenn der Analyse-Rechner manipuliert wird, dann meine ich: ja!
Ansonsten meine ich: nein! Allerdings werden sich hinter den Ziel-IPs des Netzwerkverkehrs von Schadprogrammen meist anonyme Proxy-Server, Zombie-Rechner oder andere Tricks verbergen, sodass du dem "Hacker" nicht so einfach auf die Spur kommen kannst.
MfG, UU