Mit dem Throwing Star LAN Tap Pro von Great Scott Gadgets ist es möglich, Ethernet-Verbindungen abzuhören. Das Gerät ist ein passiver Ethernet-Tap, der für seinen Betrieb keinen Strom benötigt und zwischen eine Netzwerkverbindung platziert wird. Ein vorhandenes Kabel wird ausgesteckt und in den Lan Tap Pro eingesteckt, dieser wird dann mit einem weiteren Kabel mit der ursprünglichen Stelle verbunden. Damit leitet er nicht nur die Signale durch, sondern leitet die Verbindung über zwei weitere Ports aus. Diese können nur empfangen, jedoch nicht senden.

Das Kunststoffgehäuse des Throwing Star LAN Tap Pro ist in schwarz gehalten und auf jeder Seite befindet sich ein LAN-Anschluss. Er hat eine Seitenlänge von ca. 5 cm und eine Höhe von ca. 2,6 cm. Mit Pfeilen in beiden Richtungen sind die Ports markiert, die den Netzwerkverkehr durchleiten. Die beiden Ports mit Pfeile nach außen, sind die Ports, die den Datenverkehr ausleiten.

Throwing Star LAN Tap Pro

Der LAN Tap wurde entwickelt, um 10 MBit/s und 100 MBit/s Netzwerke zu überwachen. Aufgrund der Belegung der Kabel ist es nicht möglich, 1 Gbit/s Netzwerke passiv zu belauschen. Daher wurde er so konzeptioniert, dass er bewusst die Qualität von 1 GBit/s Netzwerke verschlechtert und sie so zwingt, eine niedrigere Geschwindigkeit zu wählen. Dies ist der Zweck, der beiden Kondensatoren (C1 und C2) im Inneren des Gehäuses. Diese blockieren die hohen Frequenzen einer 1 GBit/s Verbindung, wodurch der Switch automatisch die Geschwindigkeit reduziert.

Neben dem Throwing Star LAN Tap Pro gibt es eine Variante ohne den „Pro“ Zusatz. Dabei handelt es sich um einen Bausatz, bei dem die LAN-Schnittstellen und die Kondensatoren selbst aufgelötet werden müssen. Außerdem wird bei dieser Variante kein Gehäuse mitgeliefert. Dadurch, dass nur vier Lan-Buchsen und zwei Kondensatoren benötigt werden, gibt es verschiedene Anleitungen um einen Lan Tap selbst zu bauen.

Verwendung

Um ein LAN-Netzwerk mit dem Lan Tap Pro abzuhören, muss die Hardware an eine vorhandene Netzwerkschnittstelle angeschlossen werden. Anschließend kann über die beiden weiteren Ports jeweils eine Seite belauscht werden. Um zum Beispiel alle Pakete eines Kommunikationspartners abzufangen, wird einer der beiden Ausgänge mit einem Netzwerkkabel mit einem Kali Linux Notebook verbunden. Um beide Seiten gleichzeitig zu belauschen, werden zwei Netzwerkadapter benötigt.

Aktivieren Sie als Erstes den promisc Modus Ihrer Netzwerkschnittstelle, damit alle Netzwerkpakete an den Linux-Kernel weitergereicht werden. Dies geschieht mit dem folgenden Befehl, vorausgesetzt die Netzwerkschnittstelle ist das Interface eth1:

# ip link set eth1 promisc on

Die eigentliche Aufzeichnung erfolgt mit dem Tool tcpdump. Sollte es noch nicht installiert sein, können Sie es mit dem folgenden Aufruf installieren:

# sudo apt-get install tcpdump 

Anschließend kann tcpdump gestartet werden. Standardmäßig führt tcpdump die Reverse-DNS-Auflösung von IP-Adressen durch und übersetzt Portnummern in Namen. Verwenden Sie die Option -n, um die Übersetzung zu deaktivieren. Mit der Option -i wird das zu nutzende Netzwerkinterface konfiguriert. Das Ergebnis speichern wir in der Datei network.out.

# sudo tcpdump -n -i eth1 > netwrok.out

Damit wird der gesamte Netzwerkverkehr mitprotokolliert und kann anschließend zum Beispiel mit der Anwendung Wireshark analysiert werden.

Artikelserie

Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

• Spionage von Bluetooth-Verbindungen
• LAN-Netzwerke ausspionieren
• LAN-Netzwerke infiltrieren
• WLAN-Verbindungen unterbrechen
• WLAN Man-in-the-Middle-Angriffe