ARP-Grundlagen und Spoofing

Konfiguration unter Linux

Ähnlich wie Windows, verfügen auch Linux-Systeme über ein Userspace-Programm, um den ARP-Cache auszulesen und zu bearbeiten. Die Syntax ist weit gehend identisch mit dem Unterschied, dass die Ausgabe arp -n die Host-Namen der angezeigten Einträge nicht auflöst, wie das bei arp -a der Fall ist.

Auch unter Linux lässt sich ein statischer ARP-Cache einrichten. Legen Sie dazu eine Liste der Hosts, deren Zuordnung statisch in den Cache geschrieben wird, in einer Datei an und rufen Sie

arp -f <Dateiname>

auf. Dieses Kommando liest die Datei aus und schreibt deren Inhalt in den ARP-Cache. Um diesen Vorgang beim Start zu automatisieren, legen sie im Runlevel 4 oder 5 ( /etc/rc4.d oder /etc/rc5.d) ein entsprechendes Startscript an.

Tools für Linux

Ein sehr wichtiges Programm, um Unregelmäßigkeiten in der Zuordnung MAC/IP-Adresse aufzuspüren, ist das Tool arpwatch.

Im Gegensatz zu den Utilities für Windows ist arpwatch in der Lage, nicht nur Veränderungen im eigenen ARP-Cache zu protokollieren, sondern auch geänderte Zuordnungen, die via Broadcast ins Netz gesendet werden. Dazu schaltet arpwatch die gewählte Netzwerkkarte in den so genannten Promiscuous Mode. Veränderungen werden dem Systemadministrator via Mail mitgeteilt.

Speziell in größeren Netzen meldet arpwatch beim ersten Start natürlich erst einmal eine Menge neu erkannter Hosts, bis alle im Netzwerk befindlichen Geräte erfasst sind. Etwas problematisch gestaltet sich die Verwendung von arpwatch in DHCP-Netzwerken, da bei Verwendung kurzer Lease Times jede Änderung der Zuordnung protokolliert wird.