ARP-Grundlagen und Spoofing

Das unterschätzte Risiko

ARP ist ein eher einfaches Protokoll, das keinerlei Sicherungsmechanismen gegen missbräuchliche Benutzung vorsieht. Im Normalfall antwortet auf den ARP-Request der potenzielle Empfänger mit einem an den Versender gerichteten ARP-Reply, das seine MAC- und IP-Adresse enthält. Das Protokoll stellt keine Möglichkeit bereit, zu verifizieren, ob diese Information stimmt. Aus diesem Grund kann jeder beliebige Host im Netz auf diese Anfrage antworten und seine eigenen Werte als richtig deklarieren.

Auch wenn der "echte" Host zuerst auf den Rundruf antwortet, überschreiben später eintreffende Informationen die alten Einträge im ARP-Cache des Versenders. Das Gleiche geschieht beim Empfang von ARP-Replies, denen kein ARP-Request vorausgeht. Ein Angreifer muss mit einem Programm wie Ettercap lediglich entsprechende ARP-Replies an seine Opfer versenden, um die Zuordnungen zu seinen Gunsten zu verändern und den Datenstrom auf einen Rechner seiner Wahl umzuleiten.

Das vorgestellte Verfahren wird für eine Reihe verschiedener Angriffsmethoden verwendet, die alle zum Ziel haben, den Datenstrom zwischen kommunizierenden Hosts mitzulesen.

Klassisches ARP-Spoofing

Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das Fälschen des DNS. Der Angreifer bekommt dadurch die Möglichkeit zu kontrollieren, welche Adressen wie aufgelöst werden, da er anstelle des eigentlichen Name-Servers diese Auflösung übernimmt. Dadurch ist er in der Lage, Adressen vertrauenswürdiger Seiten auf eigene Server umzuleiten, um beispielsweise eingegebene Passwörter oder PINs in Erfahrung zu bringen.

Ein anderes Beispiel ist das Spoofen des DHCP-Servers. Da zusätzlich zur IP-Adresse noch diverse andere Daten wie das Gateway oder die Adresse des Nameservices übertragen werden, ist der Angreifer dadurch in der Lage, die Kommunikationswege des Rechners zu manipulieren, um damit eine Man-in-the-Middle-Attacke einzuleiten.