Was ist ARP Spoofing?
Beim ARP Spoofing ist es das Ziel eines Angreifers die Daten in einen Netzwerk mit zu lesen und ggf. auch zu Manipulieren. Solche Angriffe sind besonders beliebt in Umgebungen wo die Sicherheit sehr niedrig ist, weil die Software, Betriebssysteme oder das Netzwerk alt ist und keine besonderen Sicherheitsvorkehrungen getroffen wurden. Auch interessant kann es werden wenn in dem Netzwerk sehr geheime und wichtige Daten sind, welche einen extremen Wert haben können. Im schlimmsten Fall können Daten mit gelesen werden wie Passwörter, Logins, Kreditkarten Daten, andere private/geheime Informationen wie besuchte Webseiten, Surfverhalten einer Person, Forschungen oder geheime Dokumente. Die gewonnen Daten können dann in Folge missbraucht werden, geleakt werden oder für Erpressungen genutzt werden gegen bestimmte Firmen Personen oder andere Organisationen. Auch ist es möglich diese Daten zu Manipulieren, was einen nicht unerheblichen Schaden anrichten kann.
Diese Art des Angriffs wird oft auch als „Man in the Middle“ bezeichnet und hat in der Vergangenheit für viele Probleme gesorgt bei Personen, Firmen etc..
Ziel sollte es bei so einen Angriff sein möglichst lange nicht aufzufallen um möglichst viele Daten zu haben bzw. zu Manipulieren. Leider ist so ein Schaden der hier entstehen kann sehr enorm, da zum Beispiel bei geleakten Informationen auch Fake Informationen mit eingeschleust werden können und dann die Unterscheidung für dritte nur sehr schwer zu ermitteln ist bzw. ein massiver Image Schaden entstehen könnte.
Wie funktioniert so ein Angriff?
Dieser Angriff basiert auf einen Missbrauch des ARP Protokolls. Dieses Protokoll dient im Grunde dazu die Beziehung zwischen einer IP Adresse und einer MAC Adresse herzustellen. Es ist also ein Elementatres Protokoll welches auch im OSI Modell daher recht tief angesiedelt ist. Es befindet sich auf dem Level 2 (Data Link Layer).
Beim normalen Surfen (oder andere Art von Netzwerkkommunikation) gehen die Daten an einen Switch zu einem Router (default Gateway) und dann ins Internet. Die Ziel IP Adresse würde wie zu erwarten dem Client Antworten und ihm die Daten zur Verfügung stellen. Dieses Beispiel zeigt einen normalen Unicast Datenverkehr:
Da unser Angreifer in diesem Beispiel etwas böse ist und die Daten haben will schaltet er sich als „Man-in-the-Middle“ dazwischen und gibt sich gegenüber dem Opfer als Router und gegenüber dem Router als Ziel Client aus. Der Angreifer kann auch gefälschte ARP Replies im Netzwerk verbreiten und ARP Replies gezielt Manipulieren.
Diese falsch verbreiteten Daten im Netzwerk führen bei den Opfern in deren ARP Tabelle (Tabelle für die Auflösung von MAC zur IP Adresse und anders herum) zu falschen Einträgen. Das Opfer schickt in Folge Sachen die an die IP Adresse des Routers gehen sollten auch an die MAC Adresse des Angreifers:
In der Verdeutlichung sieht es wie Folgt aus. Im ersten Schritt sendet der Angreifer einen ARP Reply mit seiner MAC Adresse und der IP Adresse an das Opfer. Damit wurde der erste falsche Zusammenhang im Netzwerk erstellt welcher notwendig ist um die Daten abzugreifen:
Da im zweiten Schritt der Angreifer auch die Antworten mit lesen will um möglichst viele Informationen zu erlangen wird er den selben Schritt quasi wiederholen. Er wird nun seine MAC Adresse an den Router Schicken mit der IP Adresse von dem Opfer:
Nun sendet das Opfer in diesem Fall die Daten nicht mehr über den Switch an den Router. Er wird die Daten an den Angreifer schicken, welcher die Daten mitschneidet und dann weiterleitet an dem Router. Im Gegenzug wird der Router die Daten an den Angreifer schicken welcher die Antwort dazu auch mitschneidet und dann die Antwort an das Opfer sendet. Das Opfer wird im besten Fall (für den Angreifer) nichts merken und gibt ungewollt sehr viel Preis wie wir festgestellt haben:
Wie kann ich es verhindern?
Das Problem ist nun klar. Die Authentizität von den ARP Replies in einem Netzwerk ist nicht geben im normal Fall und eigentlich müsste man dieses Überprüfen an der Stelle.
Eine Überprüfung wird hier an dem Client oder Router nur sehr schwer möglich sein, daher würde es sich eigentlich nur anbieten dieses Netzwerk direkt am Switch zu überprüfen, da hier der Fake sehr schnell auffallen würde. Hier würde man falsche Zuordnungen sehr schnell ermitteln können. Es fällt in der Hinsicht auf dass bei mehreren IP Adressen nur eine MAC Adresse erreicht werden soll. Diese MAC Adresse wird höchstwahrscheinlich der Client sein von dem der Angriff kommt. Klar kann dieser auch nur ferngesteuert werden von dem eigentlichen Angreifer über eine Sicherheitslücke, aber das ist noch ein ganz anderes Thema was eventuell mal kommen könnte ;-).
Add a Comment