ARP-Spoofing (Address Resolution Protocol) oder ARPs-Poisoning ist eine Form von Spoofing-Angriffen, bei denen Hacker Daten abfangen. Bei einem ARP-Spoofing-Angriff bringen Hacker ein Gerät dazu, Nachrichten an sie und nicht den eigentlichen Empfänger zu schicken. Auf diese Weise erlangen die Hacker Zugang zur Kommunikation des Geräts, darunter vertrauliche Daten wie Kennwörter und Kreditkarteninformationen. Zum Glück stehen Ihnen verschiedene Methoden zur Verfügung, um sich vor diesen Angriffen zu schützen.
Das ARP-Protokoll und ARP-Spoofing
ARP-Spoofing-Angriffe werden im lokalen Netzwerk (LAN) mittels ARP durchgeführt. ARP ist ein Kommunikationsprotokoll, das eine dynamische IP-Adresse (Internetprotokoll) mit der Adresse eines physischen Rechners verbindet. Letztere wird auch als MAC-Adresse (Media Access Control) bezeichnet.
Das ARP-Protokoll regelt die Kommunikation im LAN, in dem jedes Gerät eine IP-Adresse und eine MAC-Adresse hat. Um Nachrichten verschicken und empfangen zu können, müssen die Hosts im Netzwerk die Adressen der anderen Hosts kennen. Im Normalfall verbindet ein Host dazu eine dynamische IP-Adresse mit einer physischen MAC-Adresse.
Wenn zum Beispiel Host A in einem Rechnernetzwerk seine IP-Adresse mit der MAC-Adresse von Host B verbinden will, schickt er eine ARP-Anfrage an alle anderen Hosts im LAN. Auf die Anfrage erhält er von Host B eine ARP-Antwort mit dessen MAC-Adresse. Der anfragende Host speichert die Adresse dann in seinem ARP-Cache, der einer Kontaktliste ähnelt. Der Cache wird auch als ARP-Tabelle bezeichnet, da die Adressen in Tabellenform gespeichert werden.
Beim ARP-Spoofing geben sich die Angreifer, die Zugriff auf das LAN haben, als Host B aus. Sie schicken Nachrichten an Host A, um ihn dazu zu bringen, die Adresse der Angreifer als die Adresse von Host B zu speichern. Am Ende schickt Host A die für Host B gedachte Kommunikation an die Angreifer. Haben sich die Angreifer einmal dazwischengeschaltet, kommuniziert Host A zuerst mit ihnen, wenn er mit Host B kommunizieren will. Host B ist in der Regel das Standard-Gateway oder der Router.
Das Ziel eines ARP-Spoofing-Angriffs
ARP-Spoofing-Angriffen dienen mehreren Zwecken, zum Beispiel dem Abhören von Nachrichten, MITM-Angriffen (Man-in-the-Middle) oder anderen Cyberangriffen (z. B. DoS-Angriffe (Denial of Service)).
Was sind Abhör- und DoS-Angriffe?
Bei Abhörangriffen nehmen die Angreifer keine Änderungen an der Kommunikation zwischen Host A und B vor, sondern lesen diese nur mit und leiten sie zum eigentlichen Host weiter. Im Gegensatz dazu verändern die Angreifer bei einem MITM-Angriff die Informationen, bevor sie sie zum eigentlichen Host weiterschicken.
Das Ausspähen und Verändern von Nachrichten erfolgt jedoch häufig im Rahmen eines größer angelegten Cyberangriffs mit lateraler Bewegung. Ein Beispiel dafür ist ein DoS-Angriff, bei dem die Angreifer die Kommunikation zwischen zwei oder mehreren Hosts blockieren. In einigen Fällen schicken die Angreifer auch schädliche Dateien zwischen den Hosts hin und her.
Von wem wird ARP-Spoofing eingesetzt?
ARP-Spoofing wird bereits seit den 1980er Jahren genutzt. Hacker setzen es geplant oder opportunistisch ein. Geplante Angriffe sind beispielsweise DoS-Angriffe, wohingegen der Diebstahl von Informationen aus einem öffentlichen WLAN-Netzwerk ein Beispiel für Opportunismus ist. Obwohl es Schutzmaßnahmen gegen solche Angriffe gibt, werden diese immer noch häufig genutzt, da sie sowohl finanziell als auch technisch keine großen Hürden bieten.
ARP-Spoofing kann jedoch auch einem sinnvollen Zweck dienen. Entwickler nutzen ARP-Spoofing zum Debugging von Netzwerkdatenverkehr, indem sie sich absichtlich zwischen zwei Hosts schalten. Zudem simulieren ethische Hacker Angriffe mit ARP-Cache-Poisoning, um sicherzustellen, dass ein Netzwerk vor diesen Angriffen geschützt ist.
Folgen von ARP-Spoofing
ARP-Spoofing hat ähnliche Auswirkungen wie andere Formen von Spoofing (z. B. E-Mail-Spoofing). So ist es möglich, dass ARP-Spoofing hat keine Auswirkungen hat, ebenso gut lässt sich damit aber auch der vollständige Verlust der Netzwerkverbindung erreichen, falls die Angreifer einen DoS-Angriff durchführen. Wie spürbar die Folgen wirklich sind, hängt von den Zielen der Hacker ab. Wenn sie nur Informationen zwischen Hosts abhören oder verändern wollen, geschieht dies zumeist unbemerkt. Auch wenn sie vorhaben, einen weiteren Angriff einzuleiten – was bei ARP-Spoofing-Angriffen häufig der Fall ist –, sind sie auf heimliches Vorgehen aus. Mit der Heimlichkeit ist es jedoch vorbei, sobald diese Angriffe ihr Endziel erreicht haben, zum Beispiel wenn ein System mit Malware-Kommunikation überlastet ist oder ein Rechner mit Ransomware infiziert wurde.
Die Gefährlichkeit von ARP-Spoofing
Es gibt viele Gründe, die ARP-Spoofing zu einem Risiko machen. Allem voran erlangen Hacker damit nicht autorisierten Zugriff auf private Informationen, den sie dann zu böswilligen Zwecken wie dem Auslesen von Kennwörtern und der Identifizierung von Informationen oder Kreditkartendaten nutzen können. Auch schädliche Software wie Ransomware lässt sich mit diesen Angriffen verbreiten.
So erkennen Sie ARP-Spoofing in Ihrem System
Um ARP-Spoofing zu erkennen, starten Sie Ihr Programm für Aufgabenautomatisierung und Konfigurationsverwaltung. Dort befindet sich der ARP-Cache. Wenn es dort zwei IP-Adressen mit derselben MAC-Adresse gibt, sind Sie möglicherweise Opfer eines Angriffs geworden. In der Regel nutzen Hacker eine Spoofing-Software, die Nachrichten mit der Angabe verschickt, ihre Adresse sei die des Standard-Gateways.
Allerdings kann die Software den betroffenen Host auch dazu bringen, die MAC-Adresse des Standard-Gateways mit ihrer eigenen zu überschreiben. In diesem Fall müssen Sie nach Auffälligkeiten im ARP-Datenverkehr suchen. Meist fallen dabei unaufgeforderte Nachrichten auf, die behaupten, die IP- oder MAC-Adresse des Routers zu besitzen. Deshalb können unaufgeforderte Nachrichten ein Hinweis auf einen ARP-Spoofing-Angriff sein.
So wollen Angreifer verborgen bleiben
ARP-Spoofing-Angreifer wollen in der Regel unbemerkt bleiben, da sie so ungestört Informationen erfassen und das Netzwerk infiltrieren und dann einen größeren Angriff starten können. Sollten die Hosts bemerken, dass die empfangenen ARP-Anfragen gefälscht wurden, würde der Angriff auffliegen.
Normalerweise erkennen die Opfer nicht, dass der ARP-Cache gefälscht ist, denn die Kommunikation geht wie gewohnt weiter. In Wahrheit fangen die Angreifer jedoch die über das ARP-Protokoll verschickten Nachrichten ab und erhalten so beispielsweise die Benutzernamen und Kennwörter der Opfer.
So schützen Sie Ihre Systeme vor ARP-Spoofing
Zum Glück gibt es eine Reihe von Maßnahmen und Tools, die Sie im Rahmen Ihres Zwischenfall-Reaktionsplans implementieren können und die Ihr Unternehmen vor ARP-Spoofing schützen. Dazu gehören das Zertifizieren von ARP-Anfragen, Paketfilterung, ARP-Spoofing-Schutzsoftware und Verschlüsselung.
Tools zur Validierung von ARP-Anfragen
IP- und MAC-Adressen lassen sich am einfachsten durch statische ARP-Einträge validieren. Statische ARP-Einträge werden manuell eingegeben und akzeptiert. Somit wird verhindert, dass ein Gerät den ARP-Cache gemäß des ARP-Protokolls verändert. Dies ist jedoch nur für einige Einträge möglich (z. B. die Adressen des Standard-Gateways). Die meisten anderen Adressen müssen in der Regel dynamisch bleiben, da die manuelle Pflege des Cache in vielen Netzwerken zu aufwändig wäre.
Zudem gibt es Anwendungen zur Validierung von ARP-Anfragen, die vor ARP-Spoofing schützen. Die Software zertifiziert IP- und MAC-Adressen und blockiert nicht zertifizierte Antworten. Andere Anwendungen benachrichtigen den Host, wenn ein Eintrag in der ARP-Tabelle geändert wurde. Es gibt zahlreiche Software-Optionen, die zum Teil auf Kernelebene laufen, während andere in das dynamische Konfigurationsprotokoll des Hosts oder in den Netzwerk-Switch integriert werden.
Tools zum Schutz vor ARP-Spoofing
Eine relativ einfache Möglichkeit, sich vor ARP-Spoofing zu schützen, sind Firewalls mit Paketfilterung. Firewalls mit Paketfilterung markieren Datenpakete von Adressen, die doppelt im Netzwerk vorkommen, da dies darauf hinweist, dass sich jemand als ein weiterer Host ausgibt.
Die wahrscheinlich wichtigste Methode zum Schutz vor ARP-Angriffen ist jedoch die Verschlüsselung. Da heutzutage sehr häufig verschlüsselte Kommunikationsprotokolle eingesetzt werden, haben es ARP-Hacker deutlich schwerer als früher. So ist beispielsweise ein Großteil des Datenverkehrs von Webseiten durch HTTPS verschlüsselt, sodass Hacker abgefangene Nachrichten nicht mehr lesen können. Um sich vor ARP-Angriffen zu schützen, sollte also vor allem das Verschicken unverschlüsselter Daten vermieden werden.
Zudem gibt es einige Anwendungen, die Schutz bieten. Viele Cybersicherheitsprogramme informieren die Benutzer, wenn sie sich beispielsweise auf einer Seite befinden, die unverschlüsselte Daten versendet.
Ein weiteres erwähnenswertes Verschlüsselungstool ist das virtuelle private Netzwerk (VPN). Wenn Sie mit einem VPN verbunden sind, werden alle Daten durch einen verschlüsselten Tunnel geleitet.
Und zu guter Letzt haben Sie die Möglichkeit, ARP-Spoofing in Ihrem eigenen Netzwerk zu simulieren, um nach potenziellen Lücken in Ihrem Cybersicherheitssystem zu suchen. Tatsächlich sind die meisten Tools, die für diese Angriffe genutzt werden, frei verfügbar und leicht zu bedienen. Daher ist ethisches Hacking durchaus eine realistische Strategie zum Schutz vor ARP-Spoofing.