Workshop: Angriffe auf das ARP-Protokoll und Verteidigungsmaßnahmen

Tarnen und Täuschen

,
Firmen geben viel Geld aus, um sich vor Angriffen aus dem Internet zu schützen. Doch mit der Sicherheit des Intranets ist es in den meisten kleineren und mittleren Firmen nicht weit her. Das Motto lautet oft: Wer intern ist, greift uns nicht an. Die Realität sieht anders aus. Grund genug also einen der häufigsten Angriffe und dessen Verteidigungsmöglichkeiten auf interne Netzwerke mal genauer unter die Lupe zu nehmen: ARP-Spoofing.
In der April-Ausgabe hat sich IT-Administrator die Netzwerksicherheit zum Schwerpunkt gesetzt. Wir zeigen, wie Sie mit Honeypots auf Hacker-Jagd im Netzwerk ... (mehr)

Im Intranet basiert die Adressierung, anders als im Internet, nicht auf Layer 3 (IP), sondern auf Layer 2 (Ethernet). Ein Paket findet sein Ziel über die MAC-Adresse. Damit die Auflösung zwischen IPv4- und MAC-Adressen reibungslos funktioniert, kommt ARP (Address Resolution Protocol) beziehungsweise sein Pendant RARP (Reverse ARP) zum Einsatz.

Möchte Computer A mit Computer B kommunizieren, schickt A einen ARP-Request an die Broadcast-Adresse, um die MAC-Adresse von B in Erfahrung zu bringen. Computer B antwortet mit einem ARP-Reply. Im TCP-Dump sieht solch eine Konversation folgendermaßen aus:

 

 

Das Ergebnis der Abfrage wird im ARP-Cache gespeichert. Die Anzahl Sekunden, bis ein erneuter ARP-Request gesendet wird, definiert unter Linux der Wert in »/proc/sys/net/ipv4/neigh/default/ gc_stale_time« . Der Administrator kann den Wert auch pro Interface setzen unter »/proc/sys/net/ipv4/neigh/eth0/gc_stale_time« .

Angriffe auf ARP

Der einfachste Angriff auf ARP-Ebene basiert darauf, dass der Angreifer kontinuierlich ARP-Reply-Pakete an Computer A schickt und so seine eigene MAC-Adresse für die IP-Adresse von Computer B setzt. Sendet er nun noch ein ARP-Reply an Computer B, in dem seine MAC-Adresse für die von Computer A eingetragen ist, verfügt er über eine bidirektionale Man-in-the-Middle-Verbindung. Dieser Angriff wird auch Network Hijacking genannt. Nun ist der Angreifer in der Lage, sämtlichen Traffic zwischen den beiden Computern zu lesen und zu manipulieren.

Dass dies kein Hexenwerk ist, lässt sich einfach an einem kurzen Python-Skript (Listing 1: "ARP-Angriff mit Scapy") demonstrieren, das den Paketgenerator Scapy verwendet. Scapy lässt sich über die Paketverwaltung des Betriebssystems oder mit dem Python-Tool Pip installieren: »pip install Scapy« . Das

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite