AA_digital-mask_123rf-6818874_AndreaDanti.jpg

© Andrea Danti, 123rf.com

Angetäuscht

ARP-Spoofing-Attacken erkennen und abwehren

23.04.2012
Mehr als ein Smartphone samt passender App braucht ein Angreifer nicht, um per ARP-Spoofing Daten und Passwörter abzugreifen oder gleich ganze Web-Sessions zu übernehmen. Tools wie XArp bieten dagegen einen wirksamen Schutz.

Ein offenes WLAN ist eine immer gerne gesehene Möglichkeit, schnell das Smartphone zu synchronisieren und Apps wie Facebook oder Twitter auf den neuesten Stand zu bringen. Um den Mobilfunkvertrag zu schonen, präferieren die meisten Mobiltelefone automatisch den WLAN-Zugang und verbinden sich selbständig zu bekannten Netzen. Dabei beachtet kaum jemand, dass solche frei zugänglichen Netze auch Angreifern ideale Jagdgründe bieten [1].

Dabei setzten Attacken noch nicht einmal professionelle Kenntnisse voraus: Mit Smartphone-Apps wie DroidSheep oder FaceNiff (siehe Kasten "Automatisierte Angriffe") nutzen auch Amateure diese Möglichkeit, um mal eben auf Knopfdruck Session-Cookies abzufangen und damit Web-Sitzungen zu übernehmen, wie zum Beispiel für Facebook. Während DroidSheep nur auf den Netzwerkverkehr lauscht und rein passiv angreift, erweitert FaceNiff das Angriffsfeld durch Techniken des ARP-Spoofing und fängt somit eine viel größere Menge an Verkehr ab.

Doch diese Gefahr droht nicht nur in offenen Netzen. Auch in normalerweise geschlossenen Netzen gelingt Angreifern der Zugang oft schnell, zum Beispiel über Netzwerkdosen. Zudem fällt der Zugriff von außen auf das lokale Netzwerk relativ leicht, sobald ein erstes Opfer-System über das Internet kompromittiert wurden.

Bei dem bereits erwähnten ARP-Spoofing handelt es sich um eine weit verbreitete und einfache Möglichkeit, Daten im lokalen Netzwerk durch Man-in-the-Middle-Angriffe abzugreifen. Zudem können sich Angreifer hier auf eine ausgezeichnete Unterstützung durch diverse Tools abstützen. Solche ARP-Spoofing-Attacken nutzen die Schwächen eines grundlegenden Netzwerkprotokolls, des sogenannten Address Resolution Protocol.

ARP

Das Address Resolution Protocol (ARP, [2]) stellt eine wichtige Basisfunktion für IPv4-basierte Netzwerke bereit, erweist sich in der Praxis jedoch auch als Sicherheitsproblem. Ähnlich wie DNS einen Domain-Namen zur zugehörigen IP-Adresse auflöst, die dann für das IP-Routing auf OSI-Schicht 3 zum Einsatz kommt, löst ARP eine IP-Adresse in die dazugehörige MAC-Adresse auf und ermöglicht somit auf Layer 2 die Paketweiterleitung durch Hubs und Switches. Somit wird ARP auch vornehmlich in lokalen Netzen eingesetzt, also LANs und WLANs. Die MAC-Adresse identifiziert dabei die Netzwerkkarte über eine 6-Byte-Zahl, wobei die vorderen drei Byte den Hersteller der Netzwerkkarte identifizieren [3] und die hinteren drei Byte die Netzwerkkarte innerhalb des Nummernraums des Herstellers kennzeichnen.

Das ARP-Protokoll arbeitet nach dem Request-Response-Schema (Zustandslos): Um ein Paket an eine IP-Adresse zu verschicken, fragt der Absender im lokalen Netz per Broadcast nach der zugehörigen MAC-Adresse. Ein System, das die entsprechende MAC-Adresse kennt oder selbst besitzt, antwortet dem Anfragenden direkt mit einem Reply-Paket, das die angefragte MAC-Adresse sowie die zugehörige IP-Adresse beinhaltet. Die heute verwendete Basisversion von ARP implementiert keinerlei Schutz, wie etwa eine Authentifizierung oder Verschlüsselung, für dieses Frage-Antwort-Spiel – hier setzt ARP-Spoofing an.

Der ARP-Cache

IP-Adressen und erfolgreich aufgelöste, zugehörige MAC-Adressen speichert das System lokal im ARP-Cache. Weiterhin lernen Switches die entsprechende Zuordnung von Port und MAC-Adresse über eingehende Pakete. Unter Linux haben die Einträge im ARP-Cache – Sie können sich diese mittels arp -a anzeigen lassen – meist eine Lebenszeit von einer Minute [4]. Für eine ARP-Spoofing-Attacke schiebt der Angreifer dem Opfer-System eine gefälschte Zuordnung von IP- zu MAC-Adresse unter.

Dazu sendet der Angreifer beispielsweise ein ARP-Reply-Paket, das zwar die angefragte IP-Adresse, jedoch statt der zugehörigen echten MAC-Adresse jene seiner eigenen Netzwerkkarte beinhaltet (Abbildung 1). Diese Information landet im ARP-Cache des Opfers. Durch die gefälschte Zuordnung leitet das System nun alle Pakete zur Netzwerkkarte des Angreifers weiter, ohne dass dies für das Opfer zunächst erkennbar wäre.

Abbildung 1: Nach diesem Schema funktioniert ein Angriff per ARP-Spoofing.

Der grundlegende ARP-Spoofing-Angriff lässt sich beispielsweise für einen Man-in-the-Middle- oder Denial-of-Service-Angriff verwenden: Der Angreifer liest alle Pakete mit und leitet sie dann entweder an die korrekte MAC-Adresse weiter oder löscht sie einfach. Bereits 1997 wurde diese Art des Angriffs das erste Mal strukturiert beschrieben [5], seither haben weder die Problematik noch der resultierende Angriff geändert. Streng genommen stellt ein ARP-Angriff in den meisten Fällen laut Protokoll überhaupt kein illegitimes Verhalten dar und lässt sich somit auch nicht trivial verhindern. So existiert beispielsweise für ARP-Spoofing keine Signatur, die man in statischen Paketfiltern implementieren könnte.

ARP-Spoofing funktioniert in LANs wie in WLANs. Dabei stellt eine Verschlüsselung wie zum Beispiel WPA keinen Schutz dar: Um im Netzwerk kommunizieren zu können, müssen die beteiligten Systeme die MAC-Adressen auflösen, was nur über ARP funktioniert und damit die Möglichkeit zu ARP-Spoofing eröffnet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.