Tobias Scheible Cyber Security & IT-Forensik Dozent
Throwing Star LAN Tap Pro

Throwing Star LAN Tap Pro

Der Throwing Star LAN Tap Pro ist eine kompakte Hardware, mit der der Netzwerkverkehr ausgeleitet und anschließend analysiert werden kann. Er wird zwischen eine vorhandene Netzwerkverbindung platziert und dann kann mit einem Rechner der komplette Datenverkehr mitgelesen werden.

Sonntag, 14. März 2021
0 Kommentare

Mit dem Throwing Star LAN Tap Pro von Great Scott Gadgets ist es möglich, Ethernet-Verbindungen abzuhören. Das Gerät ist ein passiver Ethernet-Tap, der für seinen Betrieb keinen Strom benötigt und zwischen eine Netzwerkverbindung platziert wird. Ein vorhandenes Kabel wird ausgesteckt und in den Lan Tap Pro eingesteckt, dieser wird dann mit einem weiteren Kabel mit der ursprünglichen Stelle verbunden. Damit leitet er nicht nur die Signale durch, sondern leitet die Verbindung über zwei weitere Ports aus. Diese können nur empfangen, jedoch nicht senden.

Das Kunststoffgehäuse des Throwing Star LAN Tap Pro ist in schwarz gehalten und auf jeder Seite befindet sich ein LAN-Anschluss. Er hat eine Seitenlänge von ca. 5 cm und eine Höhe von ca. 2,6 cm. Mit Pfeilen in beiden Richtungen sind die Ports markiert, die den Netzwerkverkehr durchleiten. Die beiden Ports mit Pfeile nach außen, sind die Ports, die den Datenverkehr ausleiten.

Throwing Star LAN Tap Pro
Throwing Star LAN Tap Pro
Throwing Star LAN Tap Pro Throwing Star LAN Tap Pro

Der LAN Tap wurde entwickelt, um 10 MBit/s und 100 MBit/s Netzwerke zu überwachen. Aufgrund der Belegung der Kabel ist es nicht möglich, 1 Gbit/s Netzwerke passiv zu belauschen. Daher wurde er so konzeptioniert, dass er bewusst die Qualität von 1 GBit/s Netzwerke verschlechtert und sie so zwingt, eine niedrigere Geschwindigkeit zu wählen. Dies ist der Zweck, der beiden Kondensatoren (C1 und C2) im Inneren des Gehäuses. Diese blockieren die hohen Frequenzen einer 1 GBit/s Verbindung, wodurch der Switch automatisch die Geschwindigkeit reduziert.

Neben dem Throwing Star LAN Tap Pro gibt es eine Variante ohne den „Pro“ Zusatz. Dabei handelt es sich um einen Bausatz, bei dem die LAN-Schnittstellen und die Kondensatoren selbst aufgelötet werden müssen. Außerdem wird bei dieser Variante kein Gehäuse mitgeliefert. Dadurch, dass nur vier Lan-Buchsen und zwei Kondensatoren benötigt werden, gibt es verschiedene Anleitungen um einen Lan Tap selbst zu bauen.

Verwendung

Um ein LAN-Netzwerk mit dem Lan Tap Pro abzuhören, muss die Hardware an eine vorhandene Netzwerkschnittstelle angeschlossen werden. Anschließend kann über die beiden weiteren Ports jeweils eine Seite belauscht werden. Um zum Beispiel alle Pakete eines Kommunikationspartners abzufangen, wird einer der beiden Ausgänge mit einem Netzwerkkabel mit einem Kali Linux Notebook verbunden. Um beide Seiten gleichzeitig zu belauschen, werden zwei Netzwerkadapter benötigt.

Aktivieren Sie als Erstes den promisc Modus Ihrer Netzwerkschnittstelle, damit alle Netzwerkpakete an den Linux-Kernel weitergereicht werden. Dies geschieht mit dem folgenden Befehl, vorausgesetzt die Netzwerkschnittstelle ist das Interface eth1:

# ip link set eth1 promisc on

Die eigentliche Aufzeichnung erfolgt mit dem Tool tcpdump. Sollte es noch nicht installiert sein, können Sie es mit dem folgenden Aufruf installieren:

# sudo apt-get install tcpdump 

Anschließend kann tcpdump gestartet werden. Standardmäßig führt tcpdump die Reverse-DNS-Auflösung von IP-Adressen durch und übersetzt Portnummern in Namen. Verwenden Sie die Option -n, um die Übersetzung zu deaktivieren. Mit der Option -i wird das zu nutzende Netzwerkinterface konfiguriert. Das Ergebnis speichern wir in der Datei network.out.

# sudo tcpdump -n -i eth1 > netwrok.out

Damit wird der gesamte Netzwerkverkehr mitprotokolliert und kann anschließend zum Beispiel mit der Anwendung Wireshark analysiert werden.

Artikelserie

Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

Interesse am Thema Hacking Hardware?
  • 12.11.2021 (Vortrag) Innentäter: Bedrohungen durch Hacking Hardware, BSI - European Cyber Security Month (ECSM) 2021, Online (weitere Infos)
  • 11.12.2021 (Workshop) Hacking Hardware - Cyber Security Workshop, VDI Zollern-Baar, Albstadt (weitere Infos)

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.