IP-packet
- Ersteller win2bsd
- Erstellt am
Eine mögliche harmlose Erklärung wieso die Aktivitäts-LED leuchtet obwohl du keinen Traffic siehst wäre in Hardware gefilterter Multicastverkehr. Diverse Autodiscoveryprotokolle (z.B. mDNS) nutzen IP-Multicast. Hast du nun einen Switch, der kein IGMP/MLD Snooping beherrscht wird Multicast vom Switch als Broadcast implementiert. Damit die ungewünschten Multicastpakete nicht umsonst die CPU Belasten nur um sofort verworfen zu werden filtern ordentliche Netzwerkkarten diese Frames schon in Hardware bzw. Firmware raus.
Deine Frage ist leider etwas allgemein formuliert. Ich gehe einmal davon aus, dass ein Angreifer Daten senden möchte, ohne das der Anwender dies bemerkt: Seitens der Hardware schalten einige NICs die Status-LEDs in Software, ein populäres Beispiel ist Intels E1000-Serie. Man könnte durch ein manipuliertes Kernelmodul die LEDs einfach abschalten und schon sieht der Benutzer sie auf seiner Seite des Kabels nicht mehr blinken. Der Switch signalisiert natürlich weiterhin, dass Daten empfangen und / oder gesendet werden. Seitens der Software wird es komplizierter. Grob gesagt schreiben alle Ebenen, die ein Paket passiert, Statistiken. Die Transportprotokolle, der IP-Layer, der NIC-Treiber und ab und an sogar die Firmware. Außerdem kann jedes Paket per Promiscuos Mode an Tools wie tcpdump gespiegelt werden. Zwar kann man auf einigen Systemen die meisten Statistiken abschalten, aber das würde der Nutzer ja bemerken. Also müsste man sie durchgehend so manipulieren, dass sie die bösartigen Pakete nicht registrieren, die gutartigen aber schon. Das wäre ein massiver Eingriff und würde sicher eher früher als später auffallen. Eine alternative Möglichkeit wäre, dass man seinen eigenen IP-Stack implementiert und somit komplett am System vorbei arbeitet. Nur müssen die Pakete am Ende wieder auf die NIC geschrieben werden, was nicht ganz einfach ist. Durch Zugriffskontrollen, aber auch durch durch den im regulären IP-Stack hängenden Interrupt-Handler. Daher: Theoretisch mag es möglich sein, Daten komplett ohne Wissen des Nutzers zu versenden. Praktisch ist es kompliziert. Wenig versierte Anwender dürften sich dabei leichter täuschen lassen, als sehr versierte Profis. Und natürlich ist diese Betrachtung sehr oberflächlich. Wenn der Angreifer das Betriebssystem umgehen kann (z.B. durch Verfahrne wie Blue Pill oder SMM der x86-CPU) sieht die Sache gleich ganz anders aus.
Wenn man da einem System komplett misstraut, wäre die generelle Empfehlung das am Switch zu Mirroren - wenn der Switch das nicht kann, gibts noch die "Lösung für arme" - einen alten Hub dazwischenschalten (Selbst aber nie getestet)
foxit
Well-Known Member
Das funktioniert gut, bist du dann merkst, das der Hub nur 100MBit fährt und die Leitung plötzlich langsamer ist
