Log in

//Vorwort: Leider finde ich keine Kategorie "Netwerke/Lan/Wan" o.ä. Bitte diesen Beitrag bei Unstimmigkeit in den richtigen Bereich verschieben.//

In diesem Beitrag möchte ich Sie darüber Informieren, was ein Janusangriff (besser bekannt als "Man in the middle"/MITM-Angriff) ist, wie er funktioniert und wie man sich davor schützen kann.


Was ist ein MITM-Angriff?

Beim "Man in the middle"-Angriff versucht der Angreifer innerhalb eines Lokalen Netzwerkes die Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern zu erlangen.
Gelingt ihm dies, so kann er diese Informationen auslesen oder modifizieren.


Wie funktioniert ein MITM-Angriff?

Lassen Sie mich dies durch ein Praktisches Beispiel erläutern:
Ein Benutzer ruft eine Webseite auf.
Der Benutzer tauscht also somit Daten zwischen sich und einem Server aus.
Der Angreifer (welcher sich im selben Lokalen Netzwerk befindet) stellt sich nun zwischen dem Benutzer und dem Server, indem er dem Benutzer vortäuscht er selbst sei der Server.


Dies erreicht der Angreifer z.B. durch ein ARP-Spoofing, wobei er gefälschte ARP-Pakete sendet
oder durch Angabe eines falschen DHCP-Servers.

Nun wird die gesamte Verbindung durch den Angreifer geleitet, wodurch er diese Auslesen oder manipulieren kann.



Wie kann ich mich davor schützen?

Eine einfache Möglichkeit sich vor MITM-Angriffe zu schützen ist, seine Verbindungen durch digitale Zertifikate/SSL/SSH etc zu verschlüsseln.
Sollte es jedoch dem Angreifer gelingen, vor dieser Verschlüsselung Zugriff zu dem Datenverkehr zu bekommen, so könnte er die Verschlüsselung umgehen, indem er beiden Parteien falsche Schlüssel zuweisen würde.
Es wäre auch möglich sich mittels Quantenkryptografie zu schützen, aber das würde jetzt zu sehr ins Detail gehen.


Welche Ambitionen stehen hinter einen MITM-Angriff?

Es gibt viele Gründe für einen MITM-Angriff:
-Ausspähen privater Nachrichten
-Auslesen von Zugangsdaten/Passwörtern
-Spamming
-Zugriff auf Bankkonten


Wann lässt sich ein MITM-Angriff durchführen?

Generell lässt sich ein MITM-Angriff immer dann durchführen, wenn der Benutzer eine unverschlüsselte Webseite ansurft.

Doch auch beim aufrufen einer verschlüsselten Webseite könnte der Angreifer die Kontrolle übernehmen:
Nehmen wir einmal an, ein Benutzer möchte die Webseite seiner Bank öffnen.
(In unserem Beispiel "https://www.bank.com")
Das https signalisiert hierbei eine verschlüsselte Verbindung.

Der Benutzer könnte die Webseite nun auf folgende Art und Weise eingeben:
- "bank.com" + Enter
- "bank" + Strg + Enter
- "www.bank.com"
- "http://www.bank.com"
Die wenigsten Normalbenutzer werden jedoch "https://www.bank.com" eingeben (von Lesezeichen mal abgesehen)
So gehen wir mal davon aus, der Benutzer wird "bank.com" eingeben.

Zu den nun folgenden Schritten lässt sich ein MITM-Angriff durchführen:
- Der Browser korrigiert die URL zu "http://bank.com/" und schickt eine DNS Anfrage nach "bank.com"
- Der DNS server Antwortet mit einer IP-Adresse
- "bank.com" informiert den Browser, das die richtige Sub-Domain "www.bank.com" lauten sollte und leitet ihn mittels 301/302 weiter
- Der Browser schickt eine DNS Anfrage nach "www.bank.com"
- Der DNS server Antwortet mit einer IP-Adresse
- Der Browser stellt eine http Verbindung zu "www.bank.com" her.
- "www.bank.com" erkennt, das dies eine Unverschlüsselte Verbindung ist und leitet den Benutzer nach "https://www.bank.com" weiter
- Der Browser verbindet sich nun zu "https://www.bank.com" auf Port 443
Erst ab jetzt ist die Verbindung sicher und Verschlüsselt.


Hiermit endet mein Beitrag über MITM-Angriffe. Ich hoffe ich konnte hiermit Wissen vermitteln.
Vielen Dank für Ihre Aufmerksamkeit.
- Chris

Ich habe nun nur nicht genau verstanden wie der Angriff wirklich durchgeführt wird... wie kommt der Attakierer denn dazu die Daten mit zu lesen? Per Zugriff auf des Opfers PC?

Danke für den übersichtlichen Beitrag davon könnten sich einige eine Scheibe abschneiden .
@Kobold lese den letzten Abschnitt nochmals genau.

@Kobold: Stell dir das so vor:
Normalerweise schickt ein Computer(Benutzer) ein Paket an den Router und der Leitet es dann weiter ins Internet.
Vom Internet aus kommt dann ein Paket zum Router und der Leitet es an den richtigen Computer.

Bei diesem Angriff sitzt der Angreifer im gleichen Lan. Das Paket wird nun vom Benutzer losgeschickt. Der Angreifer sagt daraufhin "Hey ich bin der Router, schick das Paket zu mir". Das Paket wandert nun zum Angreifer und kann Ausgelesen/Manipuliert werden.

Das gleiche funktioniert somit auch umgekehrt.
Kommt ein Paket aus dem Internet, landet es beim Router. Der Angreifer sagt nun "Hey das Paket zu gehört zu mir, ich bin der Benutzer" und der Router leitet das Paket an den Angreifer weiter.

zu Deutsch,der Angreifer fängt erstmal alles ab bevor es dann zum router,bzw der website weitergeht,lässt sich mit Rats wie Zeus zb. realisieren,der fängt ua. sogar TAN-Nummern des Bankings ab.
Gott sei dank sind solche rats nur sehr schwer zu bekommen und liegen preislich bei ca 1,5k-2k euro.

Form Grabber Sources findest du schon Public

Diese kann jeder halbwegs fähige Programmierer mit einbauen

Zitat:zu Deutsch,der Angreifer fängt erstmal alles ab bevor es dann zum router,bzw der website weitergeht,lässt sich mit Rats wie Zeus zb. realisieren

Nicht zwangsläufig...
Der Angreifer, der sich im gleichen LAN befindet wie der Benutzer muss nicht einmal einen Rat/Trojaner auf dem Computer des Benutzers installieren.
Wie gesagt er kann den gesamten Netzwerkdatenverkehr von dem PC komplett umleiten, ohne das der Benutzer etwas davon merkt.
Ein bekanntes Programm dafür ist z.B. Ettercap.