1.2.1 Angriffe auf lokale Netze

Bei lokalen Festnetzen werden heutzutage fast ausschließlich Ethernet-Netze eingesetzt, die sternförmig mit Switchen aufgebaut sind. Andere Technologien wie Token Ring oder Token Bus gibt es so gut wie nicht mehr, so dass sich die folgende Diskussion nur auf Ethernet bezieht.

In lokalen Festnetzen kann es vorkommen, dass die Kommunikation von anderen Teilnehmern mitgeschnitten wird. Dieses ist heutzutage nicht so einfach wie in der Vergangenheit als diese Netze mit Bustopologien aufgebaut wurden. Damals erhielt jeder Teilnehmer im lokalen Netz alle Rahmen und man verließ sich darauf, dass jeder nur die für ihn bestimmten Rahmen auswertete. Mit der Einführung von Switches erfolgt aber seit Jahren schon eine gezielte Weiterleitung nur an den Port, an den der Empfänger eines Rahmens angeschlossen ist. Daher ist aus der Sicht des Angreifers eine spezielle Manipulation auf Basis von ARPAddress Resolution Protocol notwendig, um den Verkehr zu sich umzulenken.

Das Address Resolution Protocol (ARP) dient zum Auffinden eines Endgerätes in einem lokalen Netz, das eine bestimmte IPInternet Protocol-Adresse hat. Für diese IP-Adressse wird die zugehörige MACnach Zusammenhang entweder Medium Access Control oder Message Authentication Code-Adresse gesucht, da die Switches in LANs die Weiterleitung von Rahmen nur anhand von MAC-Adressen durchführen. Bei ARP werden Broadcast-Rahmen verwendet, in denen die IP-Adresse steht. Ein Endgerät, das diese IP-Adresse hat, meldet sich dann und teilt seine MAC-Adresse mit. Das anfragende Endgerät speichert die Zuordnung von IP- zu MAC-Adresse in einer internen ARP-Tabelle und sendet zukünftig Dateneinheiten an diese MAC-Adresse. Die eigene ARP-Tabelle kann man sich unter Windows mit dem Kommanda "arp -a" ansehen.

Dieser Vorgang wird beim ARP Spoofing (dt. Manipulation) genutzt, um Datenverkehr zu einem Angreifer umzuleiten. Die Rahmen können dann entweder nur ausgelesen oder auch verändert werden. Dabei sendet der Angreifer gefälschte ARP-Pakete an das Opfer. Eine ähnliche Technik – allerdings nicht mit gefälschten Angaben - wird auch beim freiwilligen ARP benutzt und ist daher nicht ungewöhnlich im lokalen Netz. In dem gefälschten ARP-Paket wird die IP-Adresse des Standard-Routers und die MAC-Adresse des Angreifers angegeben. Bei Erhalt dieses Paketes wird das Opfer diese Zuordnung in seine ARP-Tabelle übernehmen; alle weiteren Pakete werden dann an die MAC-Adresse des Angreifers gesendet, der die Pakete manipulieren kann. Die manipulierten Pakete werden anschliessend vom Angreifer dem Standard-Router zugestellt.



ARP-Spoofing.png

G05310 1.gif
Host A kommuniziert über den Default Router R mit dem Internet. Die notwendigen Einträge sind in den ARP-Tabellen von Host A und dem Router eingetragen.
G05310 2.gif
Der Angreifer B sendet ein ARP-Paket, in dem als IP-Adresse die Adresse des Default-Routers sowie die eigene MAC-Adresse eingetragen sind.
G05310 3.gif
Host A überschreibt die MAC-Adresse des Routers mit der neuen MAC-Adresse und sendet anschliessend alle Pakete, die zum Default Router gehen sollen, an den Angreifer B.

Die Manipulation muss sich nicht zwangsläufig auf den Standard-Router beziehen, sondern kann auch in analoger Weise für die Kommunikation zwischen zwei Rechnern im LANLocal Area Network angewendet werden.

Eine wenig praktikable Art den Angriff zu verhindern besteht darin, nur statische ARP-Tabelleneinträge zu verwenden. Dieses führt jedoch bei Umkonfigurationen zu einem manuellen Pflegeaufwand. Außerdem kann der Fehler schwierig zu finden sein, wenn den Nutzern diese statische Konfiguration nicht bekannt ist.

Zur Abwehr kann auch das Programm arpwatch eingesetzt werden, das Änderungen in der ARP-Tabelle erkennen und melden kann. Insbesondere kann es auffällig sein, wenn mehrere IP-Adressen derselben MAC-Adresse zugeordnet werden.

Für Angriffe dieser Art können Angreifer das im Internet verfügbare Ettercap (siehe Tools zum ARP Spoofing) nutzen.