AA_digital-mask_123rf-6818874_AndreaDanti.jpg

© Andrea Danti, 123rf.com

Angetäuscht

ARP-Spoofing-Attacken erkennen und abwehren

23.04.2012
Mehr als ein Smartphone samt passender App braucht ein Angreifer nicht, um per ARP-Spoofing Daten und Passwörter abzugreifen oder gleich ganze Web-Sessions zu übernehmen. Tools wie XArp bieten dagegen einen wirksamen Schutz.

Ein offenes WLAN ist eine immer gerne gesehene Möglichkeit, schnell das Smartphone zu synchronisieren und Apps wie Facebook oder Twitter auf den neuesten Stand zu bringen. Um den Mobilfunkvertrag zu schonen, präferieren die meisten Mobiltelefone automatisch den WLAN-Zugang und verbinden sich selbständig zu bekannten Netzen. Dabei beachtet kaum jemand, dass solche frei zugänglichen Netze auch Angreifern ideale Jagdgründe bieten [1].

Dabei setzten Attacken noch nicht einmal professionelle Kenntnisse voraus: Mit Smartphone-Apps wie DroidSheep oder FaceNiff (siehe Kasten "Automatisierte Angriffe") nutzen auch Amateure diese Möglichkeit, um mal eben auf Knopfdruck Session-Cookies abzufangen und damit Web-Sitzungen zu übernehmen, wie zum Beispiel für Facebook. Während DroidSheep nur auf den Netzwerkverkehr lauscht und rein passiv angreift, erweitert FaceNiff das Angriffsfeld durch Techniken des ARP-Spoofing und fängt somit eine viel größere Menge an Verkehr ab.

Doch diese Gefahr droht nicht nur in offenen Netzen. Auch in normalerweise geschlossenen Netzen gelingt Angreifern der Zugang oft schnell, zum Beispiel über Netzwerkdosen. Zudem fällt der Zugriff von außen auf das lokale Netzwerk relativ leicht, sobald ein erstes Opfer-System über das Internet kompromittiert wurden.

Bei dem bereits erwähnten ARP-Spoofing handelt es sich um eine weit verbreitete und einfache Möglichkeit, Daten im lokalen Netzwerk durch Man-in-the-Middle-Angriffe abzugreifen. Zudem können sich Angreifer hier auf eine ausgezeichnete Unterstützung durch diverse Tools abstützen. Solche ARP-Spoofing-Attacken nutzen die Schwächen eines grundlegenden Netzwerkprotokolls, des sogenannten Address Resolution Protocol.

ARP

Das Address Resolution Protocol (ARP, [2]) stellt eine wichtige Basisfunktion für IPv4-basierte Netzwerke bereit, erweist sich in der Praxis jedoch auch als Sicherheitsproblem. Ähnlich wie DNS einen Domain-Namen zur zugehörigen IP-Adresse auflöst, die dann für das IP-Routing auf OSI-Schicht 3 zum Einsatz kommt, löst ARP eine IP-Adresse in die dazugehörige MAC-Adresse auf und ermöglicht somit auf Layer 2 die Paketweiterleitung durch Hubs und Switches. Somit wird ARP auch vornehmlich in lokalen Netzen eingesetzt, also LANs und WLANs. Die MAC-Adresse identifiziert dabei die Netzwerkkarte über eine 6-Byte-Zahl, wobei die vorderen drei Byte den Hersteller der Netzwerkkarte identifizieren [3] und die hinteren drei Byte die Netzwerkkarte innerhalb des Nummernraums des Herstellers kennzeichnen.

Das ARP-Protokoll arbeitet nach dem Request-Response-Schema (Zustandslos): Um ein Paket an eine IP-Adresse zu verschicken, fragt der Absender im lokalen Netz per Broadcast nach der zugehörigen MAC-Adresse. Ein System, das die entsprechende MAC-Adresse kennt oder selbst besitzt, antwortet dem Anfragenden direkt mit einem Reply-Paket, das die angefragte MAC-Adresse sowie die zugehörige IP-Adresse beinhaltet. Die heute verwendete Basisversion von ARP implementiert keinerlei Schutz, wie etwa eine Authentifizierung oder Verschlüsselung, für dieses Frage-Antwort-Spiel – hier setzt ARP-Spoofing an.

Der ARP-Cache

IP-Adressen und erfolgreich aufgelöste, zugehörige MAC-Adressen speichert das System lokal im ARP-Cache. Weiterhin lernen Switches die entsprechende Zuordnung von Port und MAC-Adresse über eingehende Pakete. Unter Linux haben die Einträge im ARP-Cache – Sie können sich diese mittels arp -a anzeigen lassen – meist eine Lebenszeit von einer Minute [4]. Für eine ARP-Spoofing-Attacke schiebt der Angreifer dem Opfer-System eine gefälschte Zuordnung von IP- zu MAC-Adresse unter.

Dazu sendet der Angreifer beispielsweise ein ARP-Reply-Paket, das zwar die angefragte IP-Adresse, jedoch statt der zugehörigen echten MAC-Adresse jene seiner eigenen Netzwerkkarte beinhaltet (Abbildung 1). Diese Information landet im ARP-Cache des Opfers. Durch die gefälschte Zuordnung leitet das System nun alle Pakete zur Netzwerkkarte des Angreifers weiter, ohne dass dies für das Opfer zunächst erkennbar wäre.

Abbildung 1: Nach diesem Schema funktioniert ein Angriff per ARP-Spoofing.

Der grundlegende ARP-Spoofing-Angriff lässt sich beispielsweise für einen Man-in-the-Middle- oder Denial-of-Service-Angriff verwenden: Der Angreifer liest alle Pakete mit und leitet sie dann entweder an die korrekte MAC-Adresse weiter oder löscht sie einfach. Bereits 1997 wurde diese Art des Angriffs das erste Mal strukturiert beschrieben [5], seither haben weder die Problematik noch der resultierende Angriff geändert. Streng genommen stellt ein ARP-Angriff in den meisten Fällen laut Protokoll überhaupt kein illegitimes Verhalten dar und lässt sich somit auch nicht trivial verhindern. So existiert beispielsweise für ARP-Spoofing keine Signatur, die man in statischen Paketfiltern implementieren könnte.

ARP-Spoofing funktioniert in LANs wie in WLANs. Dabei stellt eine Verschlüsselung wie zum Beispiel WPA keinen Schutz dar: Um im Netzwerk kommunizieren zu können, müssen die beteiligten Systeme die MAC-Adressen auflösen, was nur über ARP funktioniert und damit die Möglichkeit zu ARP-Spoofing eröffnet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...