ARP-Grundlagen und Spoofing

Schutzmaßnahmen

Weist der ARP-Cache mehrere Einträge mit identischen MAC-Adressen auf, ist das ein Indiz, dass diese gespooft wurden. Dies muss jedoch nicht zwingend der Fall sein, da ein Host über mehrere IP-Adressen auf dem gleichen Netzwerk-Device verfügen kann; in der Regel findet das jedoch nur bei Servern Anwendung.

Eine effektive Maßnahme, um den Missbrauch von ARP vorzubeugen, ist die Verwendung von Layer-3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung (flip-flop) werden vom Switch bemerkt und gegebenenfalls verhindert. Einziger Haken ist der im Verhältnis zu herkömmlichen Layer-2-Switches hohe Preis ab etwa 700 Euro.

Speziell für größere Netzwerke wird eine Umrüstung der Switches deshalb schnell zu einem beachtlichen Kostenfaktor. Managed Layer-2-Switches sind zwar in der Lage, die Veränderung der MAC-Adresse an einem überwachten Port wahrzunehmen, nicht jedoch die veränderte Zuordnung zu IP-Adressen.

Abhilfe schafft auch die richtige Konfiguration der Hosts im Netz, um zumindest die wichtigsten Angriffsziele wie den Gateway, DNS oder Mailserver gegen einen Man-in-the-Middle-Angriff zu sichern.