Zum Inhalt springen

ARP-Spoofing

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 18. Februar 2005 um 10:42 Uhr durch 213.33.98.140 (Diskussion). Sie kann sich erheblich von der aktuellen Version unterscheiden.

ARP-Spoofing bezeichnet das Senden von gefälschten ARP-Paketen.

Beim ARP-Spoofing wird das gezielte Senden von gefälschten ARP-Paketen dazu benutzt, um den Datenverkehr zwischen zwei Hosts in einem Netzwerk abzuhören oder zu manipulieren. Man spricht dabei von einem Man-In-The-Middle-Angriff. Um den Datenverkehr zwischen Host A und Host B abzuhören, sendet der Angreifer Host A eine ARP-Nachricht, so dass dieser Pakete für Host B an den Angreifer sendet. Das selbe geschieht mit Host B, so dass dieser Pakete statt direkt an A nun ungewollt zum Angreifer sendet. Der Angreifer muss nun die von A und B erhaltenen Pakete an den eigentlichen Empfänger weiterleiten, damit eine abhörbare Verbindung zu stande kommen kann. Ist dies geschehen, so arbeitet der Angreifer unbemerkt als Proxy. Software, die diese Proxy-Funktion implementiert, ist für alle gängigen Betriebssysteme kostenlos im Internet zu erhalten und relativ leicht zu bedienen (siehe Ettercap).

Damit hat ein Angreifer bei ungeschützen Verbindungen wie sie beim Senden von E-Mails oder betrachten von Webseiten verwendet werden fast freie Hand zum Mitlesen und Manipulieren. Verschlüsselte Verbindungen sind tendenziell sicher, da diese meistens Zertifikate verwenden. Würde ein Angreifer sich zum Beispiel in eine HTTPS-Verbindung einklinken, um das Homebanking zu manipulieren, so erkennt der Anwender dies an einer Warnmeldung des Browsers über ein ungültiges Zertifikat. Auch SSH-Verbindungen sind als sicher einzustufen (SSH Version 1 nur bedingt), da ein veränderter Fingerprint von der Software sofort angezeigt wird.

ARP-Spoofing zu erkennen oder zu verhindern ist nicht einfach. Dazu gibt es mehrere Möglichkeiten. Eine davon ist, das ARP-Protokoll ganz außen vor zu lassen und mit statischen Tabellen zur Umsetzung von Protokoll-Adressen zu Hardware-Adressen zu arbeiten. Diese Möglichkeit ist nicht sehr effizient, weil diese ARP-Tabellen ständig akualisiert werden müssen. Besser ist es am Grundproblem anzusetzen: Jede ARP-Antwort ob angefordert oder nicht, ob sinnvoll oder nicht wird von fast allen Betriebssystemen akzeptiert. Hier kann es helfen das Verarbeiten von ARP-Antworten Programmen mit größerer Intelligenz zu überlassen. Diese überwachen, wer die Antworten wann schickt und welche Informationen die Antworten enthalten. Offensichtlich gefälschte ARP-Pakete lassen sich so erkennen und verwerfen. Dieser Ansatz wird zum Beispiel von ArpWatch und XArp implementiert.

  • arprelay - Implementation der ARP-Spoofing-Attacke von Felix von Leitner
  • Cain & Abel - ARP-Spoofing unter Windows
  • Ettercap - Sniffer für Switched LANs
  • ArpWatch - Überwachen des IP-MAC-Mappings für Unix
  • XArp - Überwachen des IP-MAC-Mappings für Windows
Abgerufen von „https://de.wikipedia.org/w/index.php?title=ARP-Spoofing&oldid=5178421