ARP-Spoofing
Inhaltsverzeichnis
Was ist ARP-Spoofing?
ARP-Spoofing ist eine Art von Netzwerkangriff, bei dem ein Angreifer falsche ARP-Nachrichten (ARP = Address Resolution Protocol) in einem lokalen Netzwerk (LAN) sendet. ARP-Spoofing kann das Fälschen von LAN-Adressen in kabelgebundenen und drahtlosen LAN-Netzwerken bedeuten. Das Konzept hinter dieser Art von Spoofing besteht darin, gefälschte ARP-Kommunikationen an Ethernet-LANs zu senden, um den Datenverkehr abzufangen, zu modifizieren oder ganz zu blockieren. ARP-Spoofing wird auch als ARP-Umleitung oder ARP-Poisening bezeichnet.
Welche Aufgabe hat das Address Resolution Protocol?
Das Address Resolution Protocol (ARP) befindet sich im Netzwerk-Layer. In einem LAN hat jeder Computer eine logische (IP) Adresse und eine physische (MAC) Adresse. Um eine Nachricht von einer Maschine zu einer anderen im selben oder einem anderen Netzwerk zu senden, wird die MAC-Adresse der Zielmaschine von der Quellmaschine benötigt.
Um die MAC-Adresse des Ziels zu erhalten, wenn sie im ARP-Cache der Quelle nicht vorhanden ist, muss daher eine Zuordnung zwischen der IP-Adresse und der MAC-Adresse hergestellt werden. Zu diesem Zweck wird ARP verwendet. Das Address Resolution Protocol ist ein sehr wichtiger Teil der Netzwerkschicht und ein sogenanntes zustandsloses Protokoll. Aufgrund dieser Eigenschaften weist das ARP einige inhärente Sicherheitsmängel auf, die es anfällig für verschiedene ARP-Cache-Poisoning-Angriffe wie MITM- und DoS-Angriffe machen, die zu Datenverlust oder -beschädigung führen.
Arten von ARP-Spoofing
ARP-Spoofing kann schwerwiegende Auswirkungen auf Unternehmen haben. Im Grunde werden ARP-Spoofing-Angriffe verwendet, um vertrauliche Informationen eines Unternehmens zu stehlen. Das Spoofing des Address Resolution Protocol wird für verschiedene Angriffstechniken genutzt.
Die Überwachung der Kommunikation ermöglicht es einem Angreifer, die Daten im MITM-Angriff zu lesen und zu ändern. Ein Angreifer fungiert als ein Mittler zwischen dem Client und dem Server. Wenn die Kommunikation nicht verschlüsselt ist, können auch Passwörter erfasst werden.
Funktionsweise des ARP-Spoofings
Durch das Senden einer ARP-Antwort kann ein Angreifer leicht die in einem Host-ARP-Cache enthaltene IP und MAC Verbindung ändern. Da jeder Host annimmt, dass sein lokaler Cache vertrauenswürdig ist, sendet der Host IP-Pakete, die in Ethernet frames mit einer gefälschten MAC-Adresse als Ziel eingekapselt sind. Auf diese Weise kann der Angreifer alle Pakete empfangen, die ursprünglich an einen anderen Host gerichtet waren.
Wenn auch der Cache des realen Zielhosts kompromittiert ist, stehen beide Kommunikationsflüsse unter der Kontrolle des Angreifers. Der Angreifer sitzt in der Mitte zwischen den beiden infiltrierten Computern und kann die empfangenen Pakete nach der Überprüfung an das richtige Ziel weiterleiten und eventuell vorher verändern. Die beiden Endpunkte der Verbindung werden den vom Angreifer hinzugefügten zusätzlichen Empfänger in der Regel nicht bemerken, wenn die Paket-TTL nicht dekrementiert wird.
Einige Betriebssysteme aktualisieren einen Eintrag im Cache nicht, wenn ein solcher Eintrag nicht bereits vorhanden ist, und sie eine nicht angeforderte ARP-Antwort empfangen. Der Angreifer kann diese Vorsichtsmaßnahme jedoch umgehen. Der Angreifer muss das Opfer dazu bringen, zuerst einen neuen Eintrag im Cache hinzuzufügen, damit eine zukünftige ARP-Antwort den Eintrag aktualisieren kann. Durch Senden einer gefälschten ICMP-Echoanforderung (Internet Message Control Protocol) antwortet das Opfer mit einer ICMP-Echoantwort, die zuerst das Auflösen der IP-Adresse der ursprünglichen ICMP-Anforderung in eine MAC-Adresse erfordert, wodurch ein Eintrag im Cache erstellt wird. Der Angreifer kann den Eintrag anschließend mit einer unaufgeforderten ARP-Antwort aktualisieren.
Schutzmaßnahmen vor ARP-Spoofing
Das Spoofing des Address Resolution Protocol kann mit verschiedenen Tools und Maßnahmen entdeckt und verhindert werden.
ARP-Spoofing kann sowohl gegen drahtlose als auch gegen kabelgebundene lokale Netzwerke sehr effektiv eingesetzt werden. Durch das Auslösen eines ARP-Poisoning-Angriffs können Hacker sensible Unternehmensdaten von den Zielcomputern stehlen, mittels Man-in-the-Middle-Techniken den Datenverkehr belauschen und auf dem Zielcomputer einen Denial-of-Service Angriff verursachen. Wenn der Hacker die MAC-Adresse eines Computers ändert, der eine Internetverbindung zum Netzwerk ermöglicht, kann der Zugriff auf das Internet und externe Netzwerke deaktiviert werden.
Tipp
Für kleinere Netzwerke ist die Verwendung statischer ARP-Tabellen und statischer IP-Adressen eine effektive Lösung gegen ARP-Spoofing. Für größere Netzwerke ist die Implementierung von ARP-Überwachungstools eine geeignete Gegenmaßnahme.
Sie haben noch Fragen?