• You are currently browsing the Projekt: Neurodump blog archives for .

    • Verwendung von urlsnarf in Netzwerken

    Urlsnarf ist in der Lage aus Datenströmen, die beispielsweise durch WLAN-Sniffing erfasst werden, die eingegebenen URLs zu untersuchen. Dabei werden aufgerufene URL und Browser in ein Logfile ausgegeben, falls keine Datei angegeben wird, so speichert das Tool alle Ausgaben nicht ab, sondern gibt diese auf der Console aus. Hier ist, als Beispiel, ein simpler Aufruf dargestellt. Wird kein Netzwerkinterface angegeben, so nimmt urlsnarf eines an, das wäre das erste Interface des Systems. Aufgerufen wurde in unserem Beispiel der Textbrowser lynx. Anschließend wurde Google aufgerufen.

    neurodump@antilight:~# urlsnarf
    urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
    antilight.starnet.423 - - [29/Jul/2011:13:53:03 +0200] "GET http://changelogs.ubuntu.com/meta-release HTTP/1.1" - - "-" "Python-urllib/2.7"
    antilight.starnet.423 - - [29/Jul/2011:13:53:10 +0200] "GET http://lynx.isc.org/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    antilight.starnet.423 - - [29/Jul/2011:13:53:24 +0200] "GET http://google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    antilight.starnet.423 - - [29/Jul/2011:13:53:27 +0200] "GET http://www.google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    ^C
    neurodump@antilight:~#

    Unter Ubuntu lässt sich urlsnarf leicht installieren. Details stehen in der Manpage. Nützlich ist urlsnarf zum Prüfen, was wer auf dem Netzwerk so tut. Die meisten Aufrufe sind meist typischen Surfen, also HTTP. Werden Parameter mit der URL übertragen, so lässt sich das hier ebenfalls betrachten. Diese Daten können wiederum mit sed, awk und grep entsprechend so geformt werden, dass der Benutzer einen Trigger auf bestimmte URLs legen könnte, um schließlich eine Meldung per Mail zu senden, sollte etwas bemerkt werden. Wozu könnte das Nütze sein?

    Stelle man sich ein größeres Netzwerk vor. Viele Maschinen lassen sich per Webinterface administrieren. Das wird nur nicht jeden Tag gemacht. Zum Beispiel der DSL Router, einige Switche und was nicht alles, lässt sich leicht über HTTP konfigurieren. Finden Zugriffe, sei es ein Versuch oder ein Erfolg, auf diese Geräte zu Zeiten statt, wo kein Wartungsfenster bestand oder man simpel nicht daheim gewesen ist, so liegt doch der Gedanke nahe, dass etwas nicht stimmt. Mit diesem Tool bringt man etwas Licht ins Dunkel, weil wer alles so auf dem LAN herumgeistert, dass weiß man selbst meistens nicht.

    Written on July 29th, 2011 , Gedachtes, Technik Tags: , , , , , , , ,
    ZIP Archive knacken unter Linux

    ZIP Archive verwenden keinen besonders sicheren Verschlüsselungsalgorithmus. Aus diesem Grund stehen die Chancen gut, dass der Besitzer des Archives auch ohne Kennwort wieder an seinen Daten kommt. Liegt das Passwort eines ZIP Archives nicht vor, so kann sich der Benutzer, mit einem kleinen Hilfsmittel, Abhilfe schaffen. fcrackzip ist ein ZIP-datei Knacker, der die dort verhältnismäßig trivale Verschlüsselung bricht. Dieses Tool wurde von Marc Lehmann entwickelt. Eine Liste all seiner Projekte gibt es hier.

    Hier der Sourcecode und das Windows-Binary zum herunterladen:
    fcrackzip (tar/gz): fcrackzip-1.0.tar
    fcrackzip w32: fcrackzip-bin-win32-0.3

    Installiert werden kann fcrackzip unter Linux folgendermaßen:

    neurodump@antilight:~/$ sudo aptitude install fcrackzip

    Jawohl, es ist meist keine Kompilierung nötig, da das Produkt in Ubuntu in den Softwarearchiven bereits vorhanden ist.

    Und nun kurz zur Verwendung:

    neurodump@antilight:~/$ fcrackzip -v -b -p aaaa -u mein.pdf.zip
    found file 'mein.pdf', (size cp/uc 249962/299435, flags 9, chk a2f3)
    checking pw bWk1

    PASSWORD FOUND!!!!: pw == poff
    neurodump@antilight:~/$

    Beim Aufruf wird mit dem Parameter -b ein Brute-Force Angriff veranlasst. Damit die Software weiß wo sie beginnen soll, wird eine Zeichenkette eingegeben. Dies geschieht mit dem Parametern -p aaaa. Damit ist das Startpasswort zum Beispiel aaaa anschließend aaab. Mit dem Verbose Mode, also das Parameter -v ist die Software etwas geschwätziger. -u veranlasst das Programm alle ungültigen Passwörter durch unzip aussortieren zu lassen, das reduziert die Anzahl der False Positives. Im Prinzip handelt es sich hiermit also um ein klassisches Durchprobieren, bis das Passwort gefunden worden ist. Je nach Rechner dauert das etwas.

    Written on July 29th, 2011 , Interessantes, Technik Tags: , , , , , , , , , , , ,
    Die Reise nach Jerusalem – Router stürzt ständig ab.

    Die Reise nach Jerusalem, könnte man meinen… Diesmal handelt es sich um das Arbeitspferd von D-Link, was mich sozusagen virtuell dorthin tragen soll. Der Name des Pferdes: DSL-2543B. Es handelt sich dabei um einen handelsüblichen Standard DSL Router mit eingebautem Modem. ADSL 2+ fähig. Kann das, was ein DSL Router so können soll. Ein bissl mehr Kleinkram ist auch dabei. RIP zum Beispiel. Leider macht der Router von RIP meist in einem ungewöhnlichen Weg Gebrauch. RIP in diesem Fall der unerklärliche Absturz. Rest in Peace. Der Friede ist nur kurzweilig, da das Gerät sich schnell auf der Mitte der Dartscheibe wiederfand. Der Focus des Bösen-Blick half genau so wenig, wie das Anbringen einer Zeitschaltuhr, die den Router pünktlich einmal pro Tag einen auf das Mützchen gibt.

    Die Abhilfe lag auf der Hand. Router exekutieren oder zu Ebay ausweisen lassen. Vorerst die Verhandlung. Warum stürzt es ab? Erstmal ein neuer Router, ein SMC Barricade irgendwas. Lief…. crashed. Selbes Zeug, mhnm IPCop Linux Zeug, crashed auch. Verrückterweise frieren alle Maschinen ein. Komplett. Auch das Linux. Neues Linux, Debian, neuer Kernel, friert auch ein. Anderer Rechner, anderes Switch, andere Netzwerkkarten, crashed der Router auch. Also anderes DSL Kabel, haben davon ja genug, crasht weiter.

    Zu allem Übel, laufen zwei weitere baugleiche Router mit dem Problemanschluss tadellos. Sobald das Netzwerk nicht mehr dranhängt. Har, Netzwerklast. Also 1 Monat lang mit voller Bandbreite Zeug geladen, nööö auch das wars nicht.

    Mein Latein, vorerst am Ende, da baldig ein Cisco Router mit einer ASA sich das DSL detailliert angucken darf. Viren? Nix. Komisches Zeug, wie Angriffstools…. nix. Komische Pakete? Nein. Was überlanges? Nein. MTU Size? Überall gleich. Ein Gerät kann die MTU Size nicht? Nein, da MTU genau auf Standardwinzig. MAC Adress Table voll? Nein, unter 200 MACs nur aufm LAN. Andere Router im LAN? Nein. Nach was such ich bloß noch? Ich wart mal ab, was die Cisco Geräte auf den Syslog Rechner schreiben. Grauselig!

    Written on July 27th, 2011 , Alltag, Gedachtes, Persönliches Tags: , , , ,
    Was ist exFAT/FAT64?

    FAT64 bzw. exFAT ist ein Dateisystem, welches speziell für Flash-Speicher entwickelt wurde. Digitale Kameras und andere Geräte, die viele große Daten auf Flash Speicher schreiben, benötigten ein flash-schonendes Dateisystem, dass die Grenzen von dem normalen FAT überschreitet (max. 2GB bei FAT16, max. Dateigröße von 4GB bei FAT32), welches nicht mit vielen I/O Operationen, beispielsweise im Journal, nach und nach den Flash kaputtschreibt. Ein Flashspeicher kann nur eine gewisse Menge an Schreiboperationen durchführen. Anschließend ist die oft beschriebene Speicherzelle defekt. Es gibt Hersteller, die sich ausgefeilte Techniken zur Verteilung der Daten auf solchen Speichern ausgedacht haben, um dieses Problem möglichst weit in die Zukunft zu verlagern. Dennoch schreibt ein journal-basierendes Dateisystem eine Datei mit mehr I/O Zyklen auf ein Dateisystem, als ein nicht-journalbasiertes. Dazu wird oftmals im Journal an vielen Stellen entsprechende verändert. Auf diese Weise werden die Flashelemente an diesen Stellen, wo das FS selbst liegt stark belastet, da es dort sehr viele Änderungen gibt. Doch das FS ist nunmal ein extrem wichtiges Teilstück des Dateninhaltes des Flash. Ein Schaden an dieser Stelle ist nicht gewollt.

    Gut, je mehr hier und da und wiederum hier und dann wieder da geschrieben wird, belastet die Lebenszeit des Flashspeichers. Einer Festplatte ist dies (fast) völlig egal, da die Oberfläche die Daten auf ferromagnetischer Basis speichern. Dort sind Kratzer und kleinste Staubpartikel auf eine kurze Zeit hin tödlich. Daher wird gerne bei einem Flashspeicher FAT genutzt. Große Blöcke, simple Verwaltung alles in allem ein sehr einfaches Dateisystem.

    Die maximale Dateigröße in FAT64/exFAT ist 16 Exabyte.

    Eingeführt wurde es für mobile Geräte mit Windows CE 6 oder mehr im Jahre 2006. Bei solchen Systemen war NTFS schlecht oder gar nicht einsetzbar. In die allseitsbeliebte Windows-Welt fand exFAT mit Windows Vista ab Service Pack 1. Sogar für Windows XP ab SP2 existiert ein Update, so dass XP damit auch klarkommt. Für Linux wird gerade an einem Treiber gebastelt. Aktuell ist der exFAT Support nicht der Beste, es wird vermutlich nicht allzulange dauern, bis der Support fertig ist.

    Doch welche Vorteile wurden in exFAT eingeführt? Die maximale Dateigröße beträgt 64 ZiB. Das ist astonomisch. Microsoft empfiehlt eine maximale Dateigröße von 512 TB. Das ist immer noch astronomisch, aber man kann sich den Haufen 2TB Festplatten immerhin grad noch vorstellen. Ein Cluster darf in FAT64 maximal 32MiB groß sein. Auf diese Weise kann ein Hersteller eine Digitalkamera zum Beispiel die Blockgröße grad so passend wählen, das in einem Block immer ein RAW Foto abgelegt wird. Das erleichert die Dateiwiederherstellung und verhindert auf der Digitalkamera fragmentierungen. Zusätzlich wurde in das Dateisystem eine Tabelle eingeführt, die alle freien Cluster indiziert. Des weiteren werden ACLs unterstützt. Sogar Transaktionen werden unterstützt.

    Der Nachteil aktuell liegt da, dass das Dateisystem nicht sonderlich weit in den Betriebssystemen verbreitet ist. Ab MacOS V.10.6.5 ist exFAT auch unterm Mac vorhanden.

    Written on July 23rd, 2011 , Interessantes, Technik Tags: , , , , , , , , , , , , ,

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden