ARP-Vergiftung: Definition, Techniken, Verteidigung und Prävention

ARP-Vergiftung (auch als ARP-Spoofing bezeichnet) ist ein Cyberangriff, der durch böswillige ARP-Nachrichten ausgeführt wird

Ein ARP-Angriff ist schwer zu erkennen, und sobald er vorhanden ist, können die Auswirkungen nicht mehr ignoriert werden.

Ein Hacker, der entweder ARP-Spoofing oder ARP-Poisoning erfolgreich implementiert, könnte die Kontrolle über jedes Dokument in Ihrem Netzwerk erlangen. Sie könnten ausspioniert werden, oder Ihr Datenverkehr könnte zum Stillstand kommen, bis Sie dem Hacker geben, was für Lösegeld angefordert wird.

Wir zeigen Ihnen, wie ein ARP-Angriff funktioniert, und geben Ihnen einige Lösungen, die Sie sofort implementieren können, um Ihren Server zu schützen.

ARP Poisoning/Spoofing

Was ist ein ARP?

Im Jahr 2001 führten Entwickler das Address Resolution Protocol (ARP) für Unix-Entwickler ein. Zu dieser Zeit beschrieben sie es als „Arbeitspferd“, das Verbindungen auf IP-Ebene zu neuen Hosts herstellen konnte.

Die Arbeit ist von entscheidender Bedeutung, insbesondere wenn Ihr Netzwerk ständig wächst und Sie eine Möglichkeit benötigen, neue Funktionen hinzuzufügen, ohne jede Anforderung selbst zu autorisieren.

Die Basis von ARP ist Media Access Control (MAC). Wie Experten erklären, ist ein MAC eine eindeutige Adresse auf Hardwareebene einer Ethernet-Netzwerkkarte (NIC). Diese Nummern werden werkseitig vergeben, können jedoch per Software geändert werden.

Theoretisch sollte ein ARP:

  • Anfragen annehmen. Ein neues Gerät fordert Sie auf, dem lokalen Netzwerk (LAN) beizutreten und eine IP-Adresse anzugeben.
  • Übersetzen. Geräte im LAN kommunizieren nicht über die IP-Adresse. Der ARP übersetzt die IP-Adresse in eine MAC-Adresse.
  • Anfragen senden. Wenn der ARP die MAC-Adresse, die für eine IP-Adresse verwendet werden soll, nicht kennt, sendet er eine ARP-Paketanforderung, die andere Computer im Netzwerk abfragt, um herauszufinden, was fehlt.

Diese Funktion spart Netzwerkadministratoren viel Zeit. Anfragen werden hinter den Kulissen bearbeitet, und das Netzwerk führt alle erforderlichen Bereinigungen durch. Aber es gibt Gefahren.

ARP-Angriffe: Schlüsseldefinitionen

Ein böswilliger Entwickler, der hofft, Zugriff auf wichtige Daten zu erhalten, könnte Schwachstellen aufdecken und sich hineinschleichen, und Sie werden vielleicht nie wissen, dass es passiert.

Es gibt zwei Arten von ARP-Angriffen.

  • ARP-Spoofing: Ein Hacker sendet gefälschte ARP-Pakete, die die MAC-Adresse eines Angreifers mit der IP eines Computers verknüpfen, der sich bereits im LAN befindet.
  • ARP-Vergiftung: Nach einem erfolgreichen ARP-Spoofing ändert ein Hacker die ARP-Tabelle des Unternehmens, sodass sie gefälschte MAC-Karten enthält. Die Ansteckung breitet sich aus.

Ziel ist es, den MAC eines Hackers mit dem LAN zu verbinden. Das Ergebnis bedeutet, dass jeder Datenverkehr, der an das kompromittierte LAN gesendet wird, stattdessen zum Angreifer geleitet wird.

Am Ende eines erfolgreichen ARP-Angriffs kann ein Hacker:

  • Hijack. Jemand kann über alles schauen, was zum LAN führt, bevor er es freigibt.
  • Dienst verweigern. Jemand kann sich weigern, etwas aus dem infizierten LAN freizugeben, es sei denn, es wird Lösegeld gezahlt.
  • Setzen Sie sich in die Mitte. Jemand, der einen Man-in-the-Middle-Angriff durchführt, kann fast alles tun, einschließlich der Änderung von Dokumenten, bevor sie gesendet werden. Diese Angriffe bedrohen sowohl die Vertraulichkeit als auch das Vertrauen der Benutzer. Sie gehören zu den gefährlichsten Angriffen, die jeder verüben kann.

Wenn ein Hacker einen Endhost übernehmen will, muss die Arbeit schnell erledigt sein. ARP-Prozesse laufen innerhalb von etwa 60 Sekunden ab. In einem Netzwerk können Anforderungen jedoch bis zu 4 Stunden anhalten. Das lässt einem Hacker viel Zeit, um einen Angriff zu erwägen und auszuführen.

Bekannte ARP-Schwachstellen

Geschwindigkeit, Funktionalität und Autonomie waren die Ziele bei der Entwicklung von ARP. Das Protokoll wurde nicht unter Berücksichtigung der Sicherheit erstellt und es hat sich als sehr einfach erwiesen, es für böswillige Zwecke zu fälschen und zu optimieren.

Ein Hacker benötigt nur ein paar Werkzeuge, damit dies funktioniert.

  • Verbindung: Der Angreifer benötigt die Kontrolle über einen LAN-verbundenen Computer. Besser noch, der Hacker ist bereits direkt mit dem LAN verbunden.
  • Programmierkenntnisse: Der Hacker muss wissen, wie man ARP-Pakete schreibt, die sofort akzeptiert oder auf dem System gespeichert werden.
  • Externe Tools: Ein Hacker könnte ein Spoofing-Tool wie Arpspoof verwenden, um gefälschte oder anderweitig nicht authentische ARP-Antworten zu senden.
  • Geduld. Einige Hacker dringen schnell in Systeme ein. Aber andere müssen Dutzende oder sogar Hunderte von Anfragen senden, bevor sie das LAN täuschen.

ARP ist zustandslos, und Netzwerke neigen dazu, ARP-Antworten zwischenzuspeichern. Je länger sie verweilen, desto gefährlicher werden sie. Eine übrig gebliebene Antwort könnte beim nächsten Angriff verwendet werden, was zu einer ARP-Vergiftung führt.

In einem herkömmlichen ARP-System gibt es keine Methode zur Identitätsprüfung. Hosts können nicht feststellen, ob Pakete authentisch sind, und sie können nicht einmal feststellen, woher sie stammen.

ARP Poisoning Attack Prevention

Hacker verwenden eine vorhersehbare Reihe von Schritten, um ein LAN zu übernehmen. Sie senden ein gefälschtes ARP-Paket, sie senden eine Anfrage, die eine Verbindung zum Spoof herstellt, und sie übernehmen. Die Anforderung wird an alle Computer im LAN gesendet, und die Steuerung ist abgeschlossen.

Netzwerkadministratoren können zwei Techniken verwenden, um ARP-Spoofing zu erkennen.

  1. Passiv: Überwachen Sie den ARP-Datenverkehr und suchen Sie nach Mapping-Inkonsistenzen.
  2. Aktiv: Injizieren Sie gefälschte ARP-Pakete in das Netzwerk. Ein solcher Spoofing-Angriff hilft Ihnen, Schwachstellen in Ihrem System zu identifizieren. Beheben Sie sie schnell, und Sie könnten einen laufenden Angriff stoppen.

Einige Entwickler versuchen, ihren eigenen Code zu schreiben, um eine Fälschung zu erkennen, aber das birgt Risiken. Wenn das Protokoll zu streng ist, verlangsamen übermäßige Fehlalarme den Zugriff. Wenn das Protokoll zu freizügig ist, werden laufende Angriffe ignoriert, da Sie ein falsches Sicherheitsgefühl haben.

Verschlüsselung kann hilfreich sein. Wenn ein Hacker in Ihr System eindringt und nur verstümmelten Text ohne Dekodierungsschlüssel erhält, ist der Schaden begrenzt. Sie müssen die Verschlüsselung jedoch konsistent anwenden, um den vollständigen Schutz zu gewährleisten.

Die Verwendung eines VPN kann eine außergewöhnliche Schutzquelle sein. Geräte verbinden sich über einen verschlüsselten Tunnel und die gesamte Kommunikation wird sofort verschlüsselt.

Zu berücksichtigende Schutztools

Viele Unternehmen bieten Überwachungsprogramme an, mit denen Sie sowohl Ihr Netzwerk überwachen als auch ARP-Probleme erkennen können.

Dies sind gängige Lösungen:

  • Arpwatch: Überwachen Sie die Ethernet-Aktivität, einschließlich der Änderung von IP- und MAC-Adressen, über dieses Linux-Tool. Schauen Sie sich jeden Tag das Protokoll an und greifen Sie auf Zeitstempel zu, um zu verstehen, wann der Angriff stattgefunden hat.
  • ARP-GUARD: Erhalten Sie eine grafische Übersicht über Ihr bestehendes Netzwerk, einschließlich Abbildungen von Switches und Routern. Ermöglichen Sie dem Programm, ein Verständnis dafür zu entwickeln, welche Geräte sich in Ihrem Netzwerk befinden, und Regeln zur Steuerung zukünftiger Verbindungen zu erstellen.
  • XArp: Verwenden Sie dieses Tool, um Angriffe unterhalb Ihrer Firewall zu erkennen. Lassen Sie sich benachrichtigen, sobald ein Angriff beginnt, und verwenden Sie das Tool, um zu bestimmen, was als nächstes zu tun ist.
  • Wireshark: Verwenden Sie dieses Tool, um ein grafisches Verständnis aller Geräte in Ihrem Netzwerk zu entwickeln. Dieses Tool ist leistungsstark, aber Sie benötigen möglicherweise erweiterte Fähigkeiten, um es ordnungsgemäß zu implementieren.
  • Paketfilterung: Verwenden Sie diese Firewall-Technik, um den Netzwerkzugriff zu verwalten, indem Sie eingehende und ausgehende IP-Pakete überwachen. Pakete werden basierend auf Quell- und Ziel-IP-Adressen, Ports und Protokollen zugelassen oder gestoppt.
  • Statische ARP: Diese ARPs werden dem Cache hinzugefügt und dauerhaft gespeichert. Diese dienen als permanente Zuordnungen zwischen MAC-Adressen und IP-Adressen.

Arbeiten Sie mit Okta

Wir wissen, dass Sie Ihre Systeme sicher aufbewahren müssen. Wir wissen auch, dass Sie sich möglicherweise nicht sicher sind, wo Sie anfangen und welche Schritte Sie jetzt unternehmen sollen. Wir können helfen. Entdecken Sie, wie Okta helfen kann, ARP-Vergiftungsangriffe zu verhindern.

ARP-Netzwerk-Tricks. (Oktober 2001). In: Computerworld.

Domäne 4: Kommunikations- und Netzwerksicherheit (Entwerfen und Schützen der Netzwerksicherheit). (2016). CISSP Study Guide (Dritte Auflage).

Datenblatt: Man-in-the-Middle-Angriffe. (März 2020). Internet-Gesellschaft.

Zur Untersuchung von ARP-Spoofing-Sicherheitslösungen. (April 2010). In: International Journal of Internet Protocol Technology.

Traditionelle ARP. (Januar 2017). Praktisches Networking.

Address Resolution Protocol Spoofing-Angriffe und Sicherheitsansätze: Eine Umfrage. (Dezember 2018). Sicherheit und Privatsphäre.

Einschränkungen bei der Erkennung von ARP-Angriffen. Sicherheit die Infosec Tasche.

Arpwatch-Tool zur Überwachung der Ethernet-Aktivität unter Linux. (April 2013). TecMint.

ARP-GUARD Datenblatt. ARP-WACHE.

Zuhause. XArp.

Zuhause. Wireshark.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.