ARP-Grundlagen und Spoofing

Man in the Middle

Generell ist darunter zu verstehen, dass die Kommunikation zwischen zwei Verbindungspartnern transparent über einen dritten Host läuft. Transparent heißt in diesem Zusammenhang, dass weder der Absender noch der Empfänger bemerken, dass sie eigentlich nicht direkt miteinander verbunden sind, sondern über einen dritten Host, der ähnlich wie ein Gateway die Informationen weiterleitet. Realisiert wird das auf verschiedene Weisen, abhängig davon, welche Verbindung betroffen ist. Befinden sich beide Hosts im gleichen Subnetz, versendet der Angreifer seine eigene MAC-Adresse an beide Hosts mit der IP-Adresse des jeweils anderen. Sowohl Rechner A als auch Rechner B verbinden sich mit Rechner C in dem Glauben, miteinander verbunden zu sein.

Der unsichtbare Dritte: Ein Angreifer übernimmt die Vermittlerrolle zwischen zwei Hosts und versetzt sich dadurch in die Lage, jegliche Kommunikation zwischen den beiden mitzulesen und zu beeinflussen.
Der unsichtbare Dritte: Ein Angreifer übernimmt die Vermittlerrolle zwischen zwei Hosts und versetzt sich dadurch in die Lage, jegliche Kommunikation zwischen den beiden mitzulesen und zu beeinflussen.

Verbindungen zu Hosts außerhalb des eigenen Netzwerksegments werden über das Spoofen des entsprechenden Gateways realisiert. Auf diesem Weg können sämtliche Verbindungen in andere Netzwerke manipuliert und mitgelesen werden. Dies betrifft auch verschlüsselte https-Verbindungen. Der Angreifer übermittelt dem Client zu diesem Zweck ein eigenes, gefälschtes Zertifikat und leitet die Verbindung ähnlich eines Proxies weiter an den eigentlichen Server. Da es sich im Regelfall um ein so genanntes "untrustet Certificate" handelt, geben gängige Browser wie Internet Explorer und Firefox jedoch eine entsprechende Warnmeldung aus. Die Daten werden in diesem Fall vom Man in the Middle transparent für die eigentlichen Verbindungspartner entschlüsselt, mitgelesen und verschlüsselt an den eigentlichen Adressaten weitergeleitet.

Connection Hijacking

Connection Hijacking ist vergleichbar mit einem Man-in-the-Middle-Angriff. Der Unterschied ist, dass bestehende Verbindungen übernommen werden. Anwendung findet dies in erster Linie bei unverschlüsselten Protokollen wie Telnet, die eine kontinuierliche Verbindung aufbauen. In die Kommunikation von verschlüsselten Verbindungen kann der Angreifer auf diese Weise nicht mehr eingreifen, da er nicht im Besitz der dafür notwendigen Schlüssel ist.