Angriff von innen
Seite 2: Täuschung
Täuschung
Das Address Resolution Protocol (ARP) dient in lokalen, auf Ethernet beruhenden Netzen der Zuordnung einer MAC-Adresse zu einer IP-Adresse [4]. Die Kenntnis der IP-Adresse eines Servers allein genügt nicht, um mit ihm eine Verbindung aufzunehmen -- denn alle TCP/IP-Pakete müssen ja in Ethernet-Frames transportiert werden. Deshalb muss ein Client zunächst die Ziel-Ethernetadresse (MAC) erfragen, indem er einfach per Broadcast die Frage stellt: "Welche MAC-Adresse hat der Rechner mit der IP-Adresse B?" (ARP-Who-has). Der Rechner, mit dieser IP-Adresse antwortet darauf mit "IP B ist unter MAC B zu erreichen" an den Fragesteller. Um nicht jedes Mal nachfragen zu müssen, legt der Client die Zuordnung IP-MAC in einem lokalen ARP-Cache ab.
ARP bietet keine Funktionen, um sicherzustellen, dass die Antwort auch wirklich von dem Rechner kommt, mit dem man eine Verbindung aufbauen will. So kann prinzipiell jedes System im LAN vortäuschen, der Besitzer einer IP-Adresse zu sein. Zudem erlaubt das ARP-Protokoll die Verarbeitung von Antwort-Paketen, für die gar keine Anfrage gestellt wurde. Mit sogenannten Gratuitous-ARP-Paketen teilen beispielsweise Windows-PCs nach dem Hochfahren allen anderen Rechnern ihr MAC-IP-Paar mit und testen gleichzeitig, ob es einen IP-Adresskonflikt gibt [5]. Die anderen Systeme speichern solche Paare ohne Murren im Cache.
Missbrauch
Ein Angreifer kann nun die Verbindung zwischen einem Client und Server oder Router über sich umleiten, indem er den Opfern manipulierte ARP-Pakete mit seiner eigenen MAC-Adresse sendet. Dieses Einschleusen von gefälschten Adresspaaren in den Zwischenspeicher nennt man auch Cache-Poisoning. Anschließend schickt der angegriffene Client seine Paket ohne weitere ARP-Anfragen immer zuerst an den Angreifer, der diese nach der Inspektion an den Server weiterleitet. Umgekehrt sendet der Server seine Antwort erst an den Angreifer, bevor dieser sie an den Client schickt. In solch einer Man-in-the-Middle-Position lässt sich fortan die gesamte IP-basierte Kommunikation zwischen den beiden Systemen mitlesen -- sofern sie nicht verschlüsselt ist.
Mit umgeleiteten Verbindungen kann ein Angreifer nicht nur etwa E-Mails und Zugangskennwörter ausspähen, sondern er kann auch Daten zu manipulieren. Besonders lohnende Ziele dafür sind Name-Server-Anfragen, da sich über sie auch die Kommunikation mit externen Servern umleiten lässt. Durch eine gefälschte DNS-Auskunft landet ein Opfer beispielsweise nicht auf dem eBay-Server, sondern auf einem präparierten System.
