Wer kann den HTTP-Verkehr eines Benutzers abhören?

Question 1

Ganz einfach: Folgen Sie einfach dem Kabel von Ihrem PC zum Server.

Dies ist vielleicht eine österreichische Besonderheit, dürfte aber weltweit ähnlich aussehen.

nehmen wir an, wir haben einen DSL-Benutzer:

PC -> Ethernet -> Modem

Jeder mit Zugriff auf die lokale Infrastruktur kann den Datenverkehr abhören

Modem -> 2-Draht-Kupfer -> DSLAM

Jeder, der Zugriff auf die Kupferinfrastruktur und die Geräte hat, die die Daten dekodieren können, kann lauschen. Die meisten dieser Leitungen sind relativ ungeschützt und leicht zugänglich, wenn man weiß, wo man suchen muss. Um die Daten jedoch tatsächlich zu dekodieren, bräuchte man wahrscheinlich sehr spezielle Geräte.

DSLAM -> ISP-Infrastruktur -> ISP-Core-Router

Die meisten DSLAMs sind über Glasfaser zu einer Art Glasfaserring/MAN mit den Routern des ISP verbunden.

In Deutschland gibt es Berichte, in denen angeblich US-amerikanische Geheimdienste den Verkehr eines Metropolitan Area Network abgehört haben. Es gibt handelsübliche Geräte, die das können, man braucht nur das richtige Budget, die richtige Absicht und Kenntnisse der lokalen Infrastruktur.

ISP-Kernrouter -> BGP -> Ziel-AS

Da sich der Zielserver nicht im selben autonomen System wie der Benutzer befindet, muss der Datenverkehr über das „Internet“ gesendet werden. Wenn Sie über das Internet gehen, ist, um ein Zitat aus Snatch zu verwenden, „alles möglich“. Es gibt so viele Ecken und Winkel, an denen sich böswillige Betreiber festsetzen könnten, dass Sie am besten davon ausgehen, dass Ihr gesamter Datenverkehr gelesen wird.

Das DHS (oder möglicherweise eine andere Behörde) hat auf dieser Ebene aktiv die Backbone-Infrastruktur in den USA abgehört.

Ziel-AS-Border-Router -> ISP-Infrastruktur -> Housing Center

Siehe oben.

Housing Center Router -> Switches -> Server

Auf diese Weise wurden bereits einige Sites angegriffen. Ethernet bietet keinen Schutz für Hosts, die sich im selben (V)LAN/Broadcast-Domäne befinden, sodass jeder Host ARP-Spoofing/-Poisoning versuchen kann, um sich als ein anderer Server auszugeben. Dies bedeutet, dass der gesamte Datenverkehr für einen bestimmten Server durch eine Maschine im selben (V)LAN getunnelt werden kann.

Answer

Ganz einfach: Folgen Sie einfach dem Kabel von Ihrem PC zum Server.

Dies ist vielleicht eine österreichische Besonderheit, dürfte aber weltweit ähnlich aussehen.

nehmen wir an, wir haben einen DSL-Benutzer:

PC -> Ethernet -> Modem

Jeder mit Zugriff auf die lokale Infrastruktur kann den Datenverkehr abhören

Modem -> 2-Draht-Kupfer -> DSLAM

Jeder, der Zugriff auf die Kupferinfrastruktur und die Geräte hat, die die Daten dekodieren können, kann lauschen. Die meisten dieser Leitungen sind relativ ungeschützt und leicht zugänglich, wenn man weiß, wo man suchen muss. Um die Daten jedoch tatsächlich zu dekodieren, bräuchte man wahrscheinlich sehr spezielle Geräte.

DSLAM -> ISP-Infrastruktur -> ISP-Core-Router

Die meisten DSLAMs sind über Glasfaser zu einer Art Glasfaserring/MAN mit den Routern des ISP verbunden.

In Deutschland gibt es Berichte, in denen angeblich US-amerikanische Geheimdienste den Verkehr eines Metropolitan Area Network abgehört haben. Es gibt handelsübliche Geräte, die das können, man braucht nur das richtige Budget, die richtige Absicht und Kenntnisse der lokalen Infrastruktur.

ISP-Kernrouter -> BGP -> Ziel-AS

Da sich der Zielserver nicht im selben autonomen System wie der Benutzer befindet, muss der Datenverkehr über das „Internet“ gesendet werden. Wenn Sie über das Internet gehen, ist, um ein Zitat aus Snatch zu verwenden, „alles möglich“. Es gibt so viele Ecken und Winkel, an denen sich böswillige Betreiber festsetzen könnten, dass Sie am besten davon ausgehen, dass Ihr gesamter Datenverkehr gelesen wird.

Das DHS (oder möglicherweise eine andere Behörde) hat auf dieser Ebene aktiv die Backbone-Infrastruktur in den USA abgehört.

Ziel-AS-Border-Router -> ISP-Infrastruktur -> Housing Center

Siehe oben.

Housing Center Router -> Switches -> Server

Auf diese Weise wurden bereits einige Sites angegriffen. Ethernet bietet keinen Schutz für Hosts, die sich im selben (V)LAN/Broadcast-Domäne befinden, sodass jeder Host ARP-Spoofing/-Poisoning versuchen kann, um sich als ein anderer Server auszugeben. Dies bedeutet, dass der gesamte Datenverkehr für einen bestimmten Server durch eine Maschine im selben (V)LAN getunnelt werden kann.

Question 2

In einem Switched LAN (wie den meisten Ethernet-Netzwerken) können Sie in vielen Fällen ARP-Cache-Poisoning verwenden, um solchen Datenverkehr abzuhören. Im Grunde können Sie den Client-Computer täuschen und ihn glauben lassen, dass Ihre Abhörstation der Router außerhalb des LAN ist.

In Shared-Media-LANs, also nicht-switched,wie Wireless Ethernet ohne Verschlüsselung oder mit defekter Verschlüsselung- das müssen Sie nicht einmal tun. Hören Sie einfach zu!

Beim ISP, beim ISP des ISP, beim ISP des ISP des ISP usw. müsste ein Angreifer nur den Datenverkehr abhören. Jeder Punkt auf dem Weg, durch den der Datenverkehr fließt, ist potenziell abhörbar. Dazwischen liegen auch LANs, sodass immer die Möglichkeit des Abhörens durch ARP-Cache-Poisoning usw. besteht.

Schließlich befindet sich am anderen Ende ein weiteres LAN, das genauso anfällig für Abhörmaßnahmen ist wie das Quell-LAN.

J. Ein beliebiger Idiot, der Ihre IP-Adresse kennt, wird Ihren Datenverkehr nicht abhören, ohne dabei etwas zu hacken oder den Datenverkehr von seinem normalen Weg zu ihm umzuleiten.

Ja – Klartext ist schlecht.

Answer

In einem Switched LAN (wie den meisten Ethernet-Netzwerken) können Sie in vielen Fällen ARP-Cache-Poisoning verwenden, um solchen Datenverkehr abzuhören. Im Grunde können Sie den Client-Computer täuschen und ihn glauben lassen, dass Ihre Abhörstation der Router außerhalb des LAN ist.

In Shared-Media-LANs, also nicht-switched,wie Wireless Ethernet ohne Verschlüsselung oder mit defekter Verschlüsselung- das müssen Sie nicht einmal tun. Hören Sie einfach zu!

Beim ISP, beim ISP des ISP, beim ISP des ISP des ISP usw. müsste ein Angreifer nur den Datenverkehr abhören. Jeder Punkt auf dem Weg, durch den der Datenverkehr fließt, ist potenziell abhörbar. Dazwischen liegen auch LANs, sodass immer die Möglichkeit des Abhörens durch ARP-Cache-Poisoning usw. besteht.

Schließlich befindet sich am anderen Ende ein weiteres LAN, das genauso anfällig für Abhörmaßnahmen ist wie das Quell-LAN.

J. Ein beliebiger Idiot, der Ihre IP-Adresse kennt, wird Ihren Datenverkehr nicht abhören, ohne dabei etwas zu hacken oder den Datenverkehr von seinem normalen Weg zu ihm umzuleiten.

Ja – Klartext ist schlecht.

Question 3

Wenn Sie Wireless an beliebiger Stelle in die Verbindung einbinden (WiFi-Karte, Wireless Bridge usw.), kann jeder, der sich in der Nähe des Netzwerks befindet, mithören.

WEP kann leicht geknackt werden, wenn man sich für eine einigermaßen kurze Zeit in der Nähe eines stark ausgelasteten Netzwerks befindet, und sobald man im Netzwerk ist, kann man den Datenverkehr aller sehen.

Probieren Sie es selbst aus, wenn Sie möchten. Laden Sie ein Programm namens WireShark herunter und lassen Sie es im Promiscious-Modus aufnehmen. Sehen Sie, was dabei herauskommt!

Alles, was sensibel, vertraulich, privat und geschäftsbezogen ist, sollte über HTTPS gesendet werden. Ein signiertes Zertifikat ist nicht teuer, und wenn Sie sich in einer Domäne befinden, können Sie Ihre eigene Zertifizierungsstelle erstellen, mit der Sie Zertifikate zum Verschlüsseln des Datenverkehrs zuweisen können, denen Clients in derselben Domäne automatisch vertrauen.

Answer

Wenn Sie Wireless an beliebiger Stelle in die Verbindung einbinden (WiFi-Karte, Wireless Bridge usw.), kann jeder, der sich in der Nähe des Netzwerks befindet, mithören.

WEP kann leicht geknackt werden, wenn man sich für eine einigermaßen kurze Zeit in der Nähe eines stark ausgelasteten Netzwerks befindet, und sobald man im Netzwerk ist, kann man den Datenverkehr aller sehen.

Probieren Sie es selbst aus, wenn Sie möchten. Laden Sie ein Programm namens WireShark herunter und lassen Sie es im Promiscious-Modus aufnehmen. Sehen Sie, was dabei herauskommt!

Alles, was sensibel, vertraulich, privat und geschäftsbezogen ist, sollte über HTTPS gesendet werden. Ein signiertes Zertifikat ist nicht teuer, und wenn Sie sich in einer Domäne befinden, können Sie Ihre eigene Zertifizierungsstelle erstellen, mit der Sie Zertifikate zum Verschlüsseln des Datenverkehrs zuweisen können, denen Clients in derselben Domäne automatisch vertrauen.

Question 4

Jeder, der Zugriff auf einen Router, Switch oder andere Netzwerkgeräte auf dem Weg zwischen Ihrem Computer und dem Webserver hat, kann Ihren Datenverkehr beobachten. Sie sehen auch Ihren https-Datenverkehr, können ihn aber nicht verstehen.

Answer

Jeder, der Zugriff auf einen Router, Switch oder andere Netzwerkgeräte auf dem Weg zwischen Ihrem Computer und dem Webserver hat, kann Ihren Datenverkehr beobachten. Sie sehen auch Ihren https-Datenverkehr, können ihn aber nicht verstehen.

Wer kann den HTTP-Verkehr eines Benutzers abhören?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen