In den ersten beiden Teilen dieser Serie haben wir die Grundlagen von ARP und seine Funktionsweise im Netzwerk betrachtet. In diesem Beitrag liegt der Schwerpunkt auf den Sicherheitsrisiken, insbesondere ARP-Spoofing und Man-in-the-Middle-Angriffen, die durch die einfache Struktur von ARP möglich werden.
Warum ARP anfällig ist
Das Address Resolution Protocol wurde für Vertrauensumgebungen entwickelt:
- Es gibt keine Authentifizierung bei ARP-Antworten.
- Jedes Gerät im Netzwerk kann beliebige ARP-Replies senden.
- Geräte speichern neue ARP-Informationen im Cache, ohne die Echtheit zu prüfen.
Diese Eigenschaften machen ARP anfällig für Manipulationen.
ARP-Spoofing: Funktionsweise
Beim ARP-Spoofing sendet ein Angreifer gefälschte ARP-Antworten, um sich als ein anderes Gerät auszugeben, z. B. als Gateway.
Ablauf:
- Angreifer sendet ARP-Reply: „Ich bin die IP-Adresse des Gateways, meine MAC-Adresse ist XYZ.“
- Opfer speichert diese Information im ARP-Cache.
- Sämtlicher Datenverkehr zum Gateway wird nun über den Angreifer geleitet.
Man-in-the-Middle-Angriffe (MitM)
Durch ARP-Spoofing kann ein Angreifer Datenverkehr abfangen, manipulieren oder umleiten.
Beispiele für MitM-Angriffe:
- Abhören von Passwörtern bei unverschlüsselten Protokollen (HTTP, FTP, Telnet)
- Einschleusen von Schadcode in den Datenstrom
- Verändern von DNS-Antworten für Phishing-Angriffe
Erkennen von ARP-Spoofing
Mit Tools wie Wireshark oder TShark können verdächtige ARP-Pakete identifiziert werden:
- Filter:
arp - Verdächtig sind ARP-Antworten ohne vorherige ARP-Anfrage.
- Mehrere MAC-Adressen für dieselbe IP-Adresse sind ein Warnsignal.
Praxisbeispiel: Wireshark-Analyse
Ein typisches Muster für ARP-Spoofing:
- Viele ARP-Replies mit derselben IP-Adresse, aber unterschiedlichen MAC-Adressen.
- Wiederholte ARP-Antworten ohne dazugehörige Requests.
Schreibe einen Kommentar