1. Glossar »
  2. ARP-Spoofing »

Glossar:

ARP-Spoofing

ARP-Spoofing

Copyright © Shutterstock / znakki

Was ist ARP-Spoofing?

ARP-Spoofing ist eine Art von Netzwerkangriff, bei dem ein Angreifer falsche ARP-Nachrichten (ARP = Address Resolution Protocol) in einem lokalen Netzwerk (LAN) sendet. ARP-Spoofing kann das Fälschen von LAN-Adressen in kabelgebundenen und drahtlosen LAN-Netzwerken bedeuten. Das Konzept hinter dieser Art von Spoofing besteht darin, gefälschte ARP-Kommunikationen an Ethernet-LANs zu senden, um den Datenverkehr abzufangen, zu modifizieren oder ganz zu blockieren. ARP-Spoofing wird auch als ARP-Umleitung oder ARP-Poisening bezeichnet.

Welche Aufgabe hat das Address Resolution Protocol?

Das Address Resolution Protocol (ARP) befindet sich im Netzwerk-Layer. In einem LAN hat jeder Computer eine logische (IP) Adresse und eine physische (MAC) Adresse. Um eine Nachricht von einer Maschine zu einer anderen im selben oder einem anderen Netzwerk zu senden, wird die MAC-Adresse der Zielmaschine von der Quellmaschine benötigt.

Um die MAC-Adresse des Ziels zu erhalten, wenn sie im ARP-Cache der Quelle nicht vorhanden ist, muss daher eine Zuordnung zwischen der IP-Adresse und der MAC-Adresse hergestellt werden. Zu diesem Zweck wird ARP verwendet. Das Address Resolution Protocol ist ein sehr wichtiger Teil der Netzwerkschicht und ein sogenanntes zustandsloses Protokoll. Aufgrund dieser Eigenschaften weist das ARP einige inhärente Sicherheitsmängel auf, die es anfällig für verschiedene ARP-Cache-Poisoning-Angriffe wie MITM- und DoS-Angriffe machen, die zu Datenverlust oder -beschädigung führen.

Arten von ARP-Spoofing

ARP-Spoofing kann schwerwiegende Auswirkungen auf Unternehmen haben. Im Grunde werden ARP-Spoofing-Angriffe verwendet, um vertrauliche Informationen eines Unternehmens zu stehlen. Das Spoofing des Address Resolution Protocol wird für verschiedene Angriffstechniken genutzt.

Bei einem MITM sendet der Angreifer eine ARP-Antwort mit seiner eigenen MAC-Adresse und der IP-Adresse eines legitimen Hosts, Servers oder Routers. Wenn das Opfer die ARP-Antwort erhält, aktualisiert es seine ARP-Tabelle. Wenn es versucht, das legitime Gerät zu erreichen, landen die IP-Pakete beim Angreifer. Bei einem Man in the middle Angiff fängt ein Angreifer also die Kommunikation zwischen einem Client (in diesem Fall Opfer) und einem Server ab.

Die Überwachung der Kommunikation ermöglicht es einem Angreifer, die Daten im MITM-Angriff zu lesen und zu ändern. Ein Angreifer fungiert als ein Mittler zwischen dem Client und dem Server. Wenn die Kommunikation nicht verschlüsselt ist, können auch Passwörter erfasst werden.

Bei einem DOS Angrifft sendet der Angreifer viele ARP-Antworten mit der MAC-Adresse eines legitimen Servers. Mithilfe von ARP-Spoofing verknüpft der Angreifer in diesem Fall mehrere IP-Adressen mit einer einzelnen MAC-Adresse in einem Netzwerk. Alle Geräte im Netzwerk aktualisieren daraufhin ihre ARP-Tabellen und alle IP-Pakete im Netzwerk werden an den einzelnen Server gesendet, der durch den hohen Datenverkehr überlastet wird und zusammenbrechen kann.

Funktionsweise des ARP-Spoofings

Durch das Senden einer ARP-Antwort kann ein Angreifer leicht die in einem Host-ARP-Cache enthaltene IP und MAC Verbindung ändern. Da jeder Host annimmt, dass sein lokaler Cache vertrauenswürdig ist, sendet der Host IP-Pakete, die in Ethernet frames mit einer gefälschten MAC-Adresse als Ziel eingekapselt sind. Auf diese Weise kann der Angreifer alle Pakete empfangen, die ursprünglich an einen anderen Host gerichtet waren.

Wenn auch der Cache des realen Zielhosts kompromittiert ist, stehen beide Kommunikationsflüsse unter der Kontrolle des Angreifers. Der Angreifer sitzt in der Mitte zwischen den beiden infiltrierten Computern und kann die empfangenen Pakete nach der Überprüfung an das richtige Ziel weiterleiten und eventuell vorher verändern. Die beiden Endpunkte der Verbindung werden den vom Angreifer hinzugefügten zusätzlichen Empfänger in der Regel nicht bemerken, wenn die Paket-TTL nicht dekrementiert wird.

Einige Betriebssysteme aktualisieren einen Eintrag im Cache nicht, wenn ein solcher Eintrag nicht bereits vorhanden ist, und sie eine nicht angeforderte ARP-Antwort empfangen. Der Angreifer kann diese Vorsichtsmaßnahme jedoch umgehen. Der Angreifer muss das Opfer dazu bringen, zuerst einen neuen Eintrag im Cache hinzuzufügen, damit eine zukünftige ARP-Antwort den Eintrag aktualisieren kann. Durch Senden einer gefälschten ICMP-Echoanforderung (Internet Message Control Protocol) antwortet das Opfer mit einer ICMP-Echoantwort, die zuerst das Auflösen der IP-Adresse der ursprünglichen ICMP-Anforderung in eine MAC-Adresse erfordert, wodurch ein Eintrag im Cache erstellt wird. Der Angreifer kann den Eintrag anschließend mit einer unaufgeforderten ARP-Antwort aktualisieren.

Schutzmaßnahmen vor ARP-Spoofing

Das Spoofing des Address Resolution Protocol kann mit verschiedenen Tools und Maßnahmen entdeckt und verhindert werden.

Paketfilter prüfen die Daten-Pakete, während sie über ein Netzwerk übertragen werden. Paketfilter können ARP-Spoofing verhindern, da sie Pakete mit widersprüchlichen Quelladressinformationen filtern und blockieren können. Zum Beispiel Pakete von außerhalb des Netzwerks, die Quelladressen von innerhalb des Netzwerks angeben und umgekehrt.
Es sind eine Reihe von Softwareprogrammen verfügbar, mit denen Unternehmen ARP-Spoofing-Angriffe erkennen können. Diese Programme prüfen und zertifizieren Daten, bevor sie übertragen werden, und blockieren Daten, die gefälscht sein könnten.
Netzwerkprotokolle wie Transport Layer Security (TLS), Secure Shell (SSH), HTTP Secure (HTTPS) und andere sichere Kommunikationsprotokolle unterstützen die Verhinderung von ARP-Spoofing-Angriffen, indem Daten vor der Übertragung verschlüsselt und Daten beim Empfang authentifiziert werden.
Bei dieser Schutzmaßnahme werden manuell statische ARP für Computer im Netzwerk erstellt, die von einem Angreifer nicht verändert werden können. Diese Maßnahme ist jedoch nicht für ein großes Netzwerk mit vielen Geräten empfehlenswert. Viele statische ARP bedeuten einen hohen Aufwand für Netzwerkadministratoren selbst bei kleinen Änderungen im Netzwerk.
Die Verwendung von VPNs (Virtual Private Networks) ist eine der besten Möglichkeiten, um ein Netzwerk vor ARP-Spoofing-Angriffen zu schützen. Ein virtuelles privates Netzwerk verwendet einen verschlüsselten Tunnel nicht nur für die Datenübertragung, sondern auch für die Daten, die verschlüsselt übertragen werden.

ARP-Spoofing kann sowohl gegen drahtlose als auch gegen kabelgebundene lokale Netzwerke sehr effektiv eingesetzt werden. Durch das Auslösen eines ARP-Poisoning-Angriffs können Hacker sensible Unternehmensdaten von den Zielcomputern stehlen, mittels Man-in-the-Middle-Techniken den Datenverkehr belauschen und auf dem Zielcomputer einen Denial-of-Service Angriff verursachen. Wenn der Hacker die MAC-Adresse eines Computers ändert, der eine Internetverbindung zum Netzwerk ermöglicht, kann der Zugriff auf das Internet und externe Netzwerke deaktiviert werden.

Tipp

Für kleinere Netzwerke ist die Verwendung statischer ARP-Tabellen und statischer IP-Adressen eine effektive Lösung gegen ARP-Spoofing. Für größere Netzwerke ist die Implementierung von ARP-Überwachungstools eine geeignete Gegenmaßnahme. 

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

WhatsApp teilen tweeten sharen sharen mailen

72 Bewertungen
90 %

Weitere Inhalte