ARP-Spoofing. ARP-Spoofing Handout IAV 06-08

Transkript

1 ARP-Spoofing Seit der Einführung von Switches ist das Auslesen des Datenverkehrs in lokalen Netzwerken schwieriger geworden. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel- MAC-Adresse weiterleitet. Um den Datenverkehr dennoch mitlesen zu können, empfiehlt es sich, ARP-Spoofing anzuwenden. Was ist ARP-Spoofing? ARP-Spoofing oder auch ARP Request Poisoning bezeichnet das Senden von gefälschten ARP-Paketen. Beim ARP-Spoofing wird das gezielte Senden von gefälschten ARP-Paketen dazu benutzt, um den Datenverkehr zwischen zwei Hosts in einem Computernetz abzuhören oder zu manipulieren. Man spricht dabei von einem Man-In-The-Middle-Angriff. Um den Datenverkehr zwischen Host A und Host B abzuhören, sendet der Angreifer an Host A eine manipulierte ARP-Nachricht, so dass dieser Pakete für Host B an den Angreifer sendet. Dasselbe geschieht mit Host B, so dass dieser Pakete statt direkt an A nun ungewollt zum Angreifer sendet. Der Angreifer muss nun die von A und B erhaltenen Pakete an den eigentlichen Empfänger weiterleiten, damit eine abhörbare Verbindung zustande kommen kann. Ist dies geschehen, so arbeitet der Angreifer unbemerkt als Proxy. Vorraussetzungen: Rechner im Netzwerk (Man-In-The-Middle-Angriff) Software für ARP-Spoofing (z.b. Cain & Abel) Netzwerkkarte die den Promiscuous Mode unterstützt Der Promiscuous Mode, auch Promiskmodus, bezeichnet einen bestimmten Empfangsmodus für netzwerktechnische Geräte. In diesem Modus liest das Gerät den gesamten ankommenden Datenverkehr, an die in diesen Modus geschaltete Netzwerkschnittstelle mit und gibt die Daten zur Verarbeitung an das Betriebssystem weiter. Vorgehensweise ARP-Spoofing (Windows XP SP2): Software: Cain & Abel Download unter WinPcap Bereits in der Installation von Cain & Abel enthalten WinPcap besteht aus einem Treiber, welcher hardwarenahen Zugriff auf die Netzwerkkarte für Windows-basierte Betriebssysteme ermöglicht und einer Sammlung von Programmen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Maximilian Beck Seite 1 von

2 Nachdem Cain & Abel und der WinPcap Treiber installiert wurden, startet man das Programm und nimmt folgende Einstellungen unter dem Menupunkt Configure vor: Auswahl der Netzwerkschnittstelle Es empfiehl sich, anstatt der eigenen IP- und MAC-Adresse, in den Spoofing Options eine freie IP-Adresse aus dem Netz einzutragen. Es wird dann eine FAKE-MAC-Adresse 00:11:22:33:44:55 verwendet. Dies erschwert, den möglichen Netzwerk- Administratoren, das Aufspüren und Identifizieren von ARP-Spoofern. Maximilian Beck Seite 2 von

3 Danach wird mit Hilfe des MAC Address Scanners nach Hosts und den zugehörigen IP- und MAC-Adressen gesucht. (Spalte: Sniffer / Hosts) Anschließend müssen noch die gewünschten Hosts, zwischen denen der Datenverkehr mitgelesen werden soll, ausgewählt werden. (Spalte: Sniffer / APR) Maximilian Beck Seite 3 von

4 Zuletzt muss das ARP-Spoofing nur noch gestartet werden und der Datenverkehr wird aufgezeichnet. Cain & Abel filtert die aufgezeichneten interessanten Daten aus und legt sie sortiert nach Anwendungen ab. (Spalte: Sniffer / Passwords) Maximilian Beck Seite 4 von

5 ARP-Spoofing ist nur ein Teil von Cain & Abel. Die mächtige Software beinhaltet noch weitaus mehr (z.b. Passwort Crackers, Decoders, Hash Calulators, WLAN Scanner, DNS- Spoofing, ). Abwehr von ARP-Spoofing: Signalisierung des Umschaltens in Promiscuous Mode Überwachen des IP-MAC-Mappings (ArpWatch Linux, XArp Windows) Einrichten von VLANS am Switch (Hardwareabhängig) Verwendung von Layer-3-Switches Einrichten eines statischen ARP-Caches, der die wichtigsten Host-Zuordnungen festlegt arp -s hostname hw_address Quellen: Maximilian Beck Seite 5 von