Was ist ARP-Spoofing und wie kann man es verhindern?
ARP-Spoofing ist eine Art von Cyberangriff, bei dem der Hacker eine ARP-Nachricht (False Address Resolution Protocol) über ein lokales Netzwerk (LAN) sendet.
In diesem Artikel werfen wir einen Blick auf ARP-Spoofing oder ARP-Vergiftung, was es ist, wie es funktioniert, wie Sie ARP-Spoofing-Angriffe erkennen können und schließlich, wie Sie einen Angriff auf das ARP-Protokoll verhindern können.
Also fangen wir an.
Was ist ARP (Address Resolution Protocol)?
Bevor wir ARP-Spoofing vollständig verstehen können, müssen wir zuerst das ARP-Protokoll verstehen.
Das APR-Protokoll ist für die Übersetzung einer MAC-Adresse in eine Internetprotokolladresse und umgekehrt verantwortlich.
Mit anderen Worten, das Address Resolution Protocol ermöglicht es Ihrem Computer oder einem anderen Gerät, den Router zu kontaktieren und eine Verbindung zum Netzwerk (Internet) herzustellen. Hier verwaltet ein Host einen ARP-Cache oder eine Zuordnungstabelle. Diese ARP-Tabelle wird jedes Mal aufgerufen, wenn IP-Datenpakete zwischen Hosts in einem LAN gesendet werden, wodurch bessere Verbindungen zwischen Netzwerkzielen ermöglicht werden.
Was passiert, wenn dem Host eine IP-Adresse nicht bekannt ist?
In diesem Fall wird eine ARP-Anforderung gesendet, dh ein Broadcast-Paket. Wenn ein Computer mit dieser IP-Adresse vorhanden ist (und mit dem Netzwerk verbunden ist), antwortet er mit seiner MAC-Adresse (Media Access Control), bevor er dem Cache hinzugefügt wird.
Was sind ARP-Spoofing-Angriffe?
Mehrere Probleme machen ARP weniger sicher.
- Dem ARP-Protokoll fehlt jede Art von Überprüfung, um zu bestätigen, dass die Anforderung von einem autorisierten Benutzer stammt. Dies ermöglicht in erster Linie ARP-Spoofing-Angriffe.
- Wenn eine neue ARP-Antwort empfangen wird, werden alte, nicht abgelaufene ARP-Einträge überschrieben.
- Selbst wenn keine ARP-Anforderung gesendet wird, werden Hosts Antworten zwischenspeichern, da ARP ein zustandsloses Protokoll ist.
- ARP funktioniert nur mit IPv4 und 32-Bit-IP-Adressen.
Okay, was ist ARP-Spoofing oder ARP-Vergiftung?
Es handelt sich um eine Art böswilliger Angriff, bei dem der Cyberangriff das Standard-Gateway dazu verleitet, seine MAC-Adresse mit der IP-Adresse des Opfers in Beziehung zu setzen, indem ARP-Pakete an das Gateway im lokalen Netzwerk (LAN) gesendet werden.
Wofür wird ARP-Spoofing normalerweise verwendet?
ARP-Spoofing allein ist möglicherweise keine so große Sache. Stattdessen dient es normalerweise als Vorhut für komplexere Arten von Angriffen wie:
- Man-in–the-Middle-Angriffe – Der Angreifer fängt den Datenverkehr zwischen Absender und Empfänger ab und optimiert ihn. Lesen Sie mehr über MITM-Angriffe.
- DDoS-Angriffe – ARP-Spoofing ermöglicht es dem Cyberkriminellen, die MAC-Adresse des Servers, den er angreifen möchte, und nicht seine eigene zu verwenden und einen DDoS-Angriff zu starten. Er kann dies dann für so viele IP-Adressen wiederholen, wie er benötigt, um den Datenverkehr zu überfluten.
- Session-Hijacking – ARP-Spoofing ermöglicht es dem Hacker auch, die Sitzungs-ID des Opfers abzurufen und auf Konten zuzugreifen, bei denen sich das Ziel bereits angemeldet hat.
- Fortgesetzter Paketdiebstahl – Schließlich kann der Angreifer Ihre Daten einfach weiter stehlen, indem er Ihre Datenpakete schnüffelt.
Wie funktionieren ARP-Spoofing-Angriffe?
Schauen wir uns nun Schritt für Schritt an, wie diese Angriffe funktionieren.
- Zunächst erhält der Hacker Zugriff auf das LAN-Netzwerk und scannt es nach IP-Adressen.
- Als nächstes erstellt der Angreifer mit einem ARP-Spoofing-Tool wie Arpspoof ARP-Antworten.
- Dann wird das ARP-Paket mit der MAC-Adresse des Hackers gesendet und mit der IP-Adresse des Ziels gepaart. Dies täuscht den Router und den Computer vor, sich mit dem Hacker anstatt miteinander zu verbinden.
- Jetzt wird der ARP-Cache aktualisiert, was bedeutet, dass der Router und der Computer mit dem Cyberkriminellen kommunizieren.
- Andere Hosts im Netzwerk senden dann Daten an den Angreifer, der den gefälschten ARP-Cache sieht.
Können Sie ARP-Spoofing erkennen?
Die gute Nachricht ist, dass Sie einen ARP-Spoofing-Angriff erkennen können.
Es gibt mehrere Möglichkeiten, dies zu tun.
- Verwenden der Windows-Eingabeaufforderung
Wenn Sie ein Windows-Betriebssystem verwenden, können Sie herausfinden, ob Ihr Computer von ARP-Spoofing angegriffen wurde, indem Sie
arp -1
In die Befehlszeile eingeben.
Dadurch wird eine ARP-Tabelle mit den IP-Adressen auf der linken Seite und den MAC-Adressen in der Mitte angezeigt. Wenn zwei IP-Adressen dieselbe MAC-Adresse verwenden, ist dies ein Zeichen für einen ARP-Angriff.
Beachten Sie außerdem, dass derselbe Befehl zum Erkennen von ARP-Spoofing auch unter Linux funktioniert.
- Verwenden einer 3rd-Party-Software
Wenn Sie 3rd-Party-Software verwenden, stehen zwei Optionen zur Verfügung.
Eine Möglichkeit besteht darin, ein dediziertes ARP-Spoofing-Erkennungsprogramm wie XArp zu verwenden, um das Netzwerk auf ARP-Spoofing-Angriffe zu überwachen.
Die andere ist die Verwendung eines Netzwerkprotokollanalysators wie Wireshark.
Wie ARP-Spoofing zu verhindern (und schützen Sie Ihre IP-Adresse und MAC-Adresse)?
Was können Sie neben der Verwendung einer ARP-Spoofing-Erkennungssoftware (oder eines Befehls) noch tun, um solche Angriffe zu verhindern?
Sie können verschiedene Dinge tun, z:
- Verwenden Sie Paketfilter, um schädliche Datenpakete zu erkennen und zu blockieren.
- Verschlüsseln Sie die Daten zwischen Ihnen und dem Exit mit einem VPN (Virtual Private Network).
- Verwenden Sie TLS (Transport Layer Security), SSH Secure Shell) und HTTPS, um Ihre Daten während der Übertragung zu verschlüsseln und die Wahrscheinlichkeit von ARP-Spoofing-Angriffen zu minimieren.
- Verwenden Sie static ARP, um statische Einträge für jede IP-Adresse zuzulassen und zu verhindern, dass Hacker ARP-Antworten für diese IP-Adresse abhören.
- Überwachen Sie die Adressauflösung mit einer Intrusion-Detection-Software wie Suricata.
- Halten Sie sich von Vertrauensbeziehungen fern, die für die Authentifizierung auf IP-Adressen angewiesen sind, da sie die Durchführung von ARP-Spoofing-Angriffen erleichtern.
Fazit
Wie Sie sehen können, ist ARP-Spoofing definitiv etwas, vor dem Sie vorsichtig sein sollten.
Hoffentlich haben Sie dank dieses Artikels jetzt ein besseres Verständnis von ARP-Spoofing-Angriffen, wie sie funktionieren und wie Sie sie erkennen und verhindern können.