TCP-, UDP-, und ICMP-Pakete als hilfreiche Info-Quellen für Admins Open Source Pentesting: Hping3, tcpdump und ptunnel in der Praxis

Um Schwachstellen in Netzwerken zu identifizieren, ist es oft sinnvoll, einen Blick auf die TCP-, UDP-, und ICMP-Pakete des Netzwerkverkehrs zu werfen. Tools wie Hping3, tcpdump und ptunnel liefern dabei wertvolle Informationen. Wir zeigen Beispiele und Möglichkeiten aus der Praxis.

Um Informationen zu Geräten im Netzwerk zu erlangen, sind nicht immer teure und komplexe Tools notwendig. Das Terminal oder die Befehlszeile bieten hier bereits zahlreichen Möglichkeiten und Tools, mit denen sich der Datenverkehr im Netzwerk effektiv untersuchen lässt. So können Admins (aber auch Angreifer) viele nützliche Informationen auslesen. Beispiele sind IP- und Mac-Adressen, Betriebssystemtypen und deren eingesetzte Versionen inklusive Schwachstellen, und natürlich auch welche Geräte miteinander kommunizieren.

Wir haben uns mit dem Thema Schwachstellensuche im Netzwerk bereits in einem eigenen Beitrag auseinandergesetzt und auch zum Thema Pentesting mit Nmap gibt es bereits einen Beitrag auf IP-Insider.

Bildergalerie

Im folgenden Beitrag befassen wir uns mit einer Kombination der drei Tools Hping3, tcpdump und ptunnel für das Pentesting. Mit dem Thema Tcpdump haben wir uns singulär ebenfalls bereits mit einem eigenen Beitrag auseinandergesetzt. Die hieraus gewonnen Daten lassen sich zusammen mit den anderen Tools in diesem Beitrag nutzen.

Für das Durchführen von Pentests ist eine Kali-Linux-Installation ideal, die problemlos als VM betrieben werden kann. Dadurch können Admins per SSH-Verbindung zu ihrer VM über das Netzwerk nach Schwachstellen suchen oder das Netzwerk analysieren. Hierfür sind auch die Tools aus diesem Beitrag eine gute Möglichkeit.

hping3: Ein vielseitiges Werkzeug für Netzwerkanalyse und Pentesting

Im Gegensatz zu klassischen ICMP-Ping-Tools bietet hping3 umfangreiche Möglichkeiten, um TCP-, UDP-, ICMP- und RAW-IP-Pakete zu manipulieren und detaillierte Informationen über das Verhalten von Netzwerken und Hosts zu erhalten. Ein gängiges Einsatzszenario im Pentesting ist das Scannen offener Ports auf einem Zielsystem. Hier kann hping3 zur Durchführung eines TCP-SYN-Scans genutzt werden, der effizienter als ein vollständiger Verbindungsaufbau ist. Im Gegensatz zu einem vollständigen TCP-Handshake (SYN, SYN-ACK, ACK) sendet hping3 nur SYN-Pakete und wertet die Antwort des Zielsystems aus. Die Ausführung von hping3 erfordert Root-Rechte. Daher muss das Tool entweder in einer Root-Shell (sudo -s) oder mit sudo gestartet werden.

Mit diesem Befehl wird ein SYN-Paket an die IP-Adresse 10.0.4.49 auf Port 389 gesendet, zum Beispiel zu einem Active Directory-Domänencontroller. Eine Antwort in Form eines SYN-ACK bedeutet, dass der Port offen ist. Falls ein RST zurückkommt, ist der Port geschlossen. Die Ergebnisse in diesem Fall können sein:

Der Befehl "hping3 -S 10.0.4.49 -p 389" sendet SYN-Pakete an die IP-Adresse "10.0.4.49" auf Port "389", der üblicherweise für LDAP-Dienste verwendet wird. Die Ausgabe zeigt, dass das Zielsystem mit SYN-ACK-Paketen (SA) antwortet, was darauf hinweist, dass der Port offen ist und auf Verbindungen wartet. Jedes empfangene Paket liefert dabei detaillierte Informationen.

Die Paketlänge beträgt "44" Bytes, und die Antwort kommt von der Ziel-IP "10.0.4.49". Der "TTL"-Wert beträgt "128", was darauf hindeutet, dass es sich wahrscheinlich um ein Windows-basiertes System handelt. Das "DF"-Flag (Don't Fragment) ist gesetzt, was bedeutet, dass das Paket nicht fragmentiert werden darf. Die "ID"-Nummern der Pakete beginnen bei "56395" und steigen bei jeder Antwort um eins. Der Quellport des Antwortpakets entspricht dem angefragten Port "389".

Die "SA"-Flags (SYN-ACK) zeigen an, dass der Port offen ist und das Zielsystem bereit ist, den TCP-Drei-Wege-Handshake abzuschließen. Die Sequenznummern ("seq") beginnen bei "0" und steigen ebenfalls an. Das Empfangsfenster ("win") ist auf "65392" Bytes gesetzt, was angibt, wie viele Daten das Ziel empfangen kann. Die "RTT"-Werte (Round-Trip-Time) liegen zwischen "2,5 ms" und "6,0 ms", was die Zeit angibt, die die Pakete für den Hin- und Rückweg benötigt haben. Die erfolgreiche Zustellung der SYN-Pakete sowie die SYN-ACK-Antworten bestätigen, dass der Port 389 auf dem Zielsystem offen ist und bereit ist, Anfragen wie LDAP-Dienste zu verarbeiten.

Mit einem erweiterten Kommando kann ein gesamter Portbereich gescannt werden:

Die Option --faster erhöht die Scangeschwindigkeit, indem weniger Verzögerung zwischen den Paketen auftritt. Dieses Vorgehen bietet eine schnelle Methode, um Schwachstellen in der Netzwerkabsicherung zu identifizieren, da offene Ports oft das erste Ziel von Angreifern sind.

Firewall-Regeln testen mit Fragmentierung

Ein weiteres Anwendungsgebiet von hping3 ist das Testen von Firewall-Regeln, indem fragmentierte Pakete verwendet werden, um eine eventuelle Umgehung der Filter zu prüfen. Hierbei wird ein Datenpaket in mehrere Teile aufgeteilt, um zu testen, ob die Firewall alle Teile korrekt überprüft:

Der Parameter -f sorgt für die Fragmentierung der Pakete. Wenn die Firewall fehlerhaft konfiguriert ist, könnten solche fragmentierten Pakete die Schutzmechanismen umgehen und unerlaubten Zugriff ermöglichen.

Ein weiterer Test, den hping3 in diesem Zusammenhang durchführen kann, ist die Simulation eines Denial-of-Service-Angriffs. Dabei wird eine hohe Anzahl von Paketen an das Zielsystem gesendet, um dessen Netzwerkbandbreite oder Ressourcen zu überlasten. Mit hping3 lässt sich dieser Angriff mit gezielten Flooding-Attacken simulieren:

Die Option --flood sendet Pakete so schnell wie möglich an die Zieladresse, ohne auf Antworten zu warten. Dieses Vorgehen simuliert eine Angriffswelle, bei der das Ziel überlastet wird. Solche Tests sind nützlich, um die Widerstandsfähigkeit von Netzwerken gegenüber Überlastungsangriffen zu überprüfen. Auch in Sicherheitslabors und bei praktischen Prüfungen, wie etwa für die CompTIA Security+-Zertifizierung, wird hping3 eingesetzt, um Netzwerkschwachstellen zu simulieren und zu analysieren. Eine häufige Anwendung ist die Simulation eines SYN-Flood-Angriffs, der darauf abzielt, ein Zielsystem mit halb-offenen Verbindungen zu überlasten. Dies geschieht, indem SYN-Pakete gesendet werden, ohne dass der abschließende TCP-Handshake durchgeführt wird, was das Ziel zwingt, Ressourcen für unvollständige Verbindungen zu reservieren:

Dieser Befehl initiiert einen SYN-Flood-Angriff auf die IP-Adresse 172.16.1.120, wobei zufällige Quelladressen (--rand-source) verwendet werden, um den Angriff zu verschleiern. Während des Angriffs zeigt der Resource Monitor auf dem eingesetzten System eine dramatisch erhöhte CPU- und Netzwerkauslastung, was auf die Auswirkungen des Flooding hinweist. Der Einsatz solcher Tools in einer sicheren Testumgebung ist entscheidend, um das Verhalten von Netzwerkgeräten unter Last zu analysieren und Schutzmechanismen wie Firewalls oder Intrusion-Prevention-Systeme auf ihre Belastbarkeit zu testen.

ICMP-Ping mit Payload zur Verbindungsqualität

Neben TCP und UDP unterstützt hping3 auch ICMP-Pakete, wie sie bei klassischen Ping-Befehlen verwendet werden. Mit hping3 lassen sich diese ICMP-Pakete jedoch um zusätzliche Daten erweitern, um die Reaktionszeiten und die Verbindungsqualität zu analysieren:

Dieser Befehl sendet einen ICMP-Ping (Typ 1) an die Zieladresse 10.0.0.1, wobei eine 100-Byte-Payload verwendet wird. Solche erweiterten Pings können bei der Fehleranalyse in Netzwerken helfen, da sie Aufschluss über den Umgang mit größeren Datenpaketen und die Latenzzeiten geben.

Ein weiteres nützliches Feature von hping3 ist die Möglichkeit, eine Traceroute mit TCP-Paketen durchzuführen. Standardmäßig verwendet der normale Traceroute-Befehl ICMP oder UDP, aber hping3 kann TCP-SYN-Pakete nutzen, um Firewalls oder Filter zu umgehen, die ICMP-Verbindungen blockieren:

Mit diesem Befehl wird ein Traceroute zur IP-Adresse 10.0.0.1 durchgeführt, indem TCP-SYN-Pakete an Port 80 gesendet werden. Diese Methode ist besonders nützlich in Netzwerken, in denen ICMP-Verbindungen eingeschränkt sind, und erlaubt eine detaillierte Analyse der Hops, die zwischen dem Ursprungs- und dem Zielsystem liegen.

Um eine detaillierte Analyse von Firewall-Regeln und Netzwerkfiltern durchzuführen, kann ein TCP-ACK-Scan verwendet werden. Mit dieser Methode lassen sich spezifische Reaktionen der Firewall auf bereits bestehende Verbindungen testen:

Der Parameter -A sorgt dafür, dass ACK-Pakete gesendet werden. Da diese Pakete als Teil einer bestehenden Verbindung gelten, kann damit überprüft werden, ob die Firewall diese durchlässt oder blockiert. Eine solche Analyse hilft dabei, Fehlkonfigurationen in Firewalls zu entdecken.

ptunnel: TCP-Verkehr durch ICMP-Tunnel und seine Kombination mit hping3

Das Tool ptunnel bietet vielseitige Möglichkeiten, um zum Beispiel TCP-Daten durch ICMP-Pakete zu tunneln. Das ist besonders nützlich, wenn Firewalls den normalen TCP- oder UDP-Verkehr blockieren, aber ICMP-Verbindungen zulassen. Das Tool ermöglicht es, ICMP-Echoanforderungen (Ping) zu verwenden, um TCP-Daten von einem Quellhost zu einem entfernten Host zu übertragen, der durch eine Firewall geschützt ist.

In typischen Szenarien kann ptunnel für die Umgehung von Firewalls eingesetzt werden, um beispielsweise SSH-Verbindungen oder Webverkehr durch ICMP-Tunnel zu senden. Hierbei wird der TCP-Verkehr so verpackt, dass er durch die ICMP-Pakete hindurchgeschleust wird, wodurch Firewalls, die keine tiefgreifende Paketinspektion durchführen, umgangen werden können. Ein Beispiel für den Einsatz von ptunnel:

In diesem Fall wird TCP-Verkehr von Port 8080 auf der Angreiferseite durch ICMP-Tunnel zu Port 22 (SSH) des Ziels 10.0.0.2 transportiert. Das Tool hping3 kann in Kombination mit ptunnel verwendet werden, um den ICMP-Verkehr zu manipulieren oder den Tunnel zu verschleiern. Während ptunnel die eigentliche Tunnelverbindung bereitstellt, kann hping3 genutzt werden, um den ICMP-Verkehr zu modifizieren, indem zusätzliche Optionen oder zufällige Quell-IP-Adressen verwendet werden, um die Entdeckung der Verbindung zu erschweren. Ein Beispiel, bei dem hping3 verwendet wird, um die ICMP-Pakete zu senden, die ptunnel für den Transport von TCP-Daten nutzt, könnte wie folgt aussehen:

Hier sendet hping3 ICMP-Pakete an das Ziel 10.0.0.1 mit zufällig gewählten Quell-IP-Adressen, um den getunnelten Verkehr weiter zu verschleiern und Firewalls zu umgehen, die möglicherweise IP-Adressen filtern. Durch die Kombination aus ptunnel und hping3 lassen sich besonders ausgefeilte Testszenarien entwickeln, bei denen Firewalls und Sicherheitssysteme auf ihre Fähigkeit geprüft werden, getunnelten Verkehr zu erkennen und zu blockieren.

Ein weiteres Beispiel ist der Einsatz von ptunnel, um mehrere Dienste gleichzeitig über ICMP zu tunneln, wobei verschiedene Ports auf dem Quellhost zu unterschiedlichen Zielen weitergeleitet werden:

In diesem Fall wird der SSH-Verkehr auf Port 8080 durch ptunnel zu Port 22 des Ziels 10.0.0.2 getunnelt, während gleichzeitig HTTP-Verkehr über Port 8081 zu Port 80 des Ziels 10.0.0.3 geschickt wird. Diese Konfiguration ermöglicht es, mehrere Dienste über ICMP zu tunneln, was in einer stark abgeschotteten Umgebung nützlich sein kann, in der sowohl SSH als auch HTTP-Verkehr blockiert werden, ICMP jedoch nicht.

Kombination von tcpdump mit hping3 und ptunnel für umfassende Netzwerkanalysen

Die Kombination von tcpdump mit hping3 und ptunnel ermöglicht eine detaillierte Überwachung und Analyse des gesamten Netzwerkverkehrs, während gezielte Pakete für Tests und Angriffe gesendet oder getunnelt werden. Dabei erfasst tcpdump den gesamten Netzwerkverkehr und zeigt sowohl die gesendeten Pakete als auch die Reaktionen des Zielsystems, was eine präzise Analyse von Sicherheitslücken ermöglicht.

Ein Anwendungsbeispiel könnte folgendermaßen aussehen: ptunnel wird genutzt, um TCP-Verbindungen über ICMP-Pakete zu tunneln, während hping3 verwendet wird, um den ICMP-Verkehr mit modifizierten Paketen oder zusätzlichen Tests zu verschleiern. Das Tool tcpdump dient hierbei zur Überwachung, um sicherzustellen, dass der getunnelte Verkehr korrekt gesendet und empfangen wird, und um das Verhalten der Firewall und anderer Sicherheitsmechanismen zu analysieren. Hierfür wird zunächst tcpdump gestartet, um den ICMP-Verkehr zu überwachen:

Dann wird der Verkehr durch ptunnel getunnelt, um beispielsweise SSH-Daten über ICMP-Pakete zu transportieren:

Gleichzeitig kann hping3 genutzt werden, um gezielte ICMP-Pakete zu versenden und den getunnelten Verkehr zu maskieren oder Firewall-Tests durchzuführen:

Während dieser Vorgänge erfasst tcpdump alle ICMP-Pakete, die das Interface passieren. Dies bietet die Möglichkeit, den kompletten Verkehr zu analysieren und sicherzustellen, dass keine Pakete verlorengehen oder blockiert werden. Durch die Analyse der tcpdump-Ausgaben können Admins oder Sicherheitsforscher präzise erkennen, wie effektiv Firewalls und Netzwerksicherheitsmaßnahmen den getunnelten und manipulierten Verkehr erkennen und verarbeiten.

Geräte identifizieren und Layer-2 für Netzwerkscans nutzen

Mit ARP-Scans Sicherheitslecks im Netzwerk finden

Video-Tipp #67: Metasploit im Pentest-Einsatz

Pentesting mit Metasploit und Nmap

Troubleshooting und Netzwerkanalysen im Terminal durchführen

TCPDump: Netzwerkdiagnose für das Command Line Interface

(ID:50252752)