TLDR: ARP-Poisoning ändert die IP-Zieladresse in der Tabelle nicht. Warum hilft es also, den Datenverkehr umzuleiten, wenn man die MAC-Adresse unter einer anderen IP-Adresse vortäuscht?
In allen Videos, die ich finde, wird erklärt, dass das Ziel von ARP-Poisoning darin besteht, eine unerwünschte Nachricht zu senden, um die ARP-Tabelle des Hosts und des Routers zu „überschreiben“, sodass die MAC-Adresse des MitM-Angreifers mit beiden verknüpft wird und sie folgendermaßen aussehen:
Opfer: aa:bb:cc:dd:ee:ff (192.168.1.100) Router: aa:bb:cc:dd:ee:ff (192.168.1.1) MitM-Maschine: aa:bb:cc:dd:ee:ff (192.168.1.199)
Auf diese Weise landen beide beim Man-in-the-Middle, der sie dann an die Endpunkte 192.168.1.199 und 192.168.1.1 weiterleitet, die eigentlich eine andere MAC-Adresse hatten.
...Meine Frage ist, wie das funktioniert. Wenn Sie diese Geräte dazu bringen, die falsche MAC mit der richtigen IP zu verknüpfen, wie wird der Datenverkehr dann tatsächlich umgeleitet? Ich meine, ich sehe das so:
Opfer > Paket an Router bei 192.168.1.1 > gelangt zum Router und öffnet das Paket, um festzustellen, dass die MAC falsch ist?
Antwort1
Wie funktioniert ARP-Poisoning, wenn die IP-Adresse falsch ist?
Es wird normalerweise als ARP-Spoofing bezeichnet, wird aber auch als ARP-Poison-Routing (APR) oder ARP-Cache-Poisoning bezeichnet.
ARP-Poisoning ändert das IP-Ziel in der Tabelle nicht. Warum hilft es also, die MAC-Adresse unter einer anderen IP-Adresse zu fälschen, um den Datenverkehr umzuleiten?
Hubs, Switches und die LAN-Seite eines Routers routen Daten mithilfe der im Ethernet-Datenrahmen enthaltenen MAC-Adresse.
Während des Angriffs enthalten die ARP-Tabelleneinträge für die IP-Adresse des Opfers die MAC-Adresse des Angreifers.
Wenn Daten an oder von der IP-Adresse des Opfers gesendet werden, werden sie an die MAC-Adresse des Angreifers weitergeleitet.
Das Ziel von ARP-Poisoning besteht darin, eine unerwünschte Nachricht zu senden, um die ARP-Tabelle des Hosts und des Routers zu „überschreiben“, sodass die MAC-Adresse des MitM-Angreifers mit beiden verknüpft wird.
Nein, das ist nicht richtig.
- Die ARP-Tabelleneinträge für die IP-Adresse des Opfers enthalten die MAC-Adresse des Angreifers.
- Die ARP-Tabelleneinträge für die IP des Routers werden nicht geändert.
- Der Angreifer kann den Datenverkehr von der IP-Adresse des Opfers an den Router weiterleiten, muss dies jedoch nicht.
SehenWas passiert als nächstesunten für weitere Informationen.
Was ist ARP-Spoofing?
ARP-Spoofing ist eine Art von Angriff, bei dem ein böswilliger Akteur gefälschte ARP-Nachrichten (Address Resolution Protocol) über ein lokales Netzwerk sendet. Dadurch wird die MAC-Adresse eines Angreifers mit der IP-Adresse eines legitimen Computers oder Servers im Netzwerk verknüpft.
Sobald die MAC-Adresse des Angreifers mit einer authentischen IP-Adresse verknüpft ist, beginnt der Angreifer, alle Daten zu empfangen, die für diese IP-Adresse bestimmt sind.
ARP-Spoofing kann es böswilligen Angreifern ermöglichen, Daten während der Übertragung abzufangen, zu ändern oder sogar zu stoppen. ARP-Spoofing-Angriffe können nur in lokalen Netzwerken erfolgen, die das Address Resolution Protocol verwenden.
Quelle VeracodeARP-Spoofing
Wie funktioniert es?
ARP-Spoofing-Angriffe verlaufen normalerweise ähnlich. Die Schritte eines ARP-Spoofing-Angriffs umfassen normalerweise:
Der Angreifer öffnet ein ARP-Spoofing-Tool und stellt die IP-Adresse des Tools so ein, dass sie mit dem IP-Subnetz eines Ziels übereinstimmt. Beispiele für beliebte ARP-Spoofing-Software sind Arpspoof, Cain & Abel, Arpoison und Ettercap.
Der Angreifer verwendet das ARP-Spoofing-Tool, um nach den IP- und MAC-Adressen von Hosts im Subnetz des Ziels zu suchen.
Der Angreifer wählt sein Ziel aus und beginnt, ARP-Pakete über das LAN zu senden, die die MAC-Adresse des Angreifers und die IP-Adresse des Ziels enthalten.
Da andere Hosts im LAN die gefälschten ARP-Pakete zwischenspeichern, gelangen die Daten, die diese Hosts an das Opfer senden, stattdessen an den Angreifer. Von hier aus kann der Angreifer Daten stehlen oder einen ausgefeilteren Folgeangriff starten.
Quelle VeracodeARP-Spoofing
Was passiert als nächstes?
Der Angreifer kann die Pakete untersuchen (ausspionieren) und den Datenverkehr gleichzeitig an das eigentliche Standard-Gateway weiterleiten, um eine Entdeckung zu verhindern. Er kann die Daten vor der Weiterleitung ändern (Man-in-the-Middle-Angriff) oder einen Denial-of-Service-Angriff starten, indem er dafür sorgt, dass einige oder alle Pakete im Netzwerk gelöscht werden.
Quelle WikipediaARP-Spoofing
Weiterführende Literatur
Antwort2
Beispielsweise wird in einem LAN, das über einen Switch verbunden ist, der Switch das Paket erst auf der Netzwerkschicht (Schicht 3 des OSI) entkapseln. Er prüft nur die MAC-Adresse in seiner CAM-Tabelle und leitet das Paket an den richtigen Port weiter. Aus diesem Grund wird die IP-Adresse nicht geprüft, insbesondere wenn die CAM-Tabelle des Switches bereits ausgefüllt ist.
Antwort3
Wenn das Paket über das Link-Layer-Netzwerk gesendet wird, wird es an die MAC-Adresse des Angreifers gesendet. Es gelangt also in den Besitz des Angreifers und nicht des beabsichtigten Empfängers.
Machen wir das etwas konkreter, indem wir das Link-Layer-Netzwerk angeben. Nehmen wir Ethernet als Beispiel. Ethernet-NICs kennen nur ihre eigene (Ethernet-)Schicht. Sie wissen nicht, was IP ist, also haben sie keine Ahnung, wie diese Pakete auf der IP-Schicht adressiert werden können. Für die Ethernet-NICs ist das alles ein Haufen undurchsichtiger Nutzlastbytes. Die sendende NIC weiß nur, dass ihr ein Frame für aa:bb:cc:dd:ee:ff übergeben wurde, also fügt sie diese Zieladresse hinzu und überträgt ihn. Nur die NIC des Angreifers ist so programmiert, dass sie Frames betrachtet, die an aa:bb:cc:dd:ee:ff adressiert sind, also empfängt nur die NIC des Angreifers den Frame, indem sie ihn an den Netzwerkstapel des Betriebssystems ihres Hosts weiterleitet.