ARP-Poisoning: was ist das und wie kann ein Angriff verhindert werden

ARP-Poisoning (auch bekannt als ARP-Spoofing) ist ein Cyberangriff, der über schädliche ARP-Meldungen durchgeführt wird.

Ein ARP-Angriff ist im Vorfeld schwer auszumachen. War er allerdings erfolgreich, sind die Folgen alles andere als unsichtbar. 

Wenn es einem Hacker gelingt, ARP-Spoofing oder ARP-Poisoning zu implementieren, kann er die Kontrolle über all Ihre Dokumente im Netzwerk übernehmen. Sie können dann ausspioniert werden oder Ihr Datenverkehr wird so lange stillgelegt, bis Sie das verlangte Lösegeld bezahlt haben. 

Nachfolgend zeigen wir Ihnen, wie ein ARP-Angriff funktioniert und welche Lösungen Sie zum Schutz Ihres Servers implementieren können.

 

ARP Poisoning/Spoofing

 

Was ist ARP?

2001 haben Entwickler das Address Resolution Protocol (ARP) für Unix-Entwickler eingeführt. Damals wurde ARP als „Arbeitstier“ beschrieben, mit dem Sie auf IP-Ebene Verbindungen mit neuen Hosts herstellen können. 

Dieser Arbeitsschritt ist vor allem dann wichtig, wenn Ihr Netzwerk kontinuierlich wächst und Sie beim Hinzufügen neuer Funktionalitäten nicht jede Anfrage selbst autorisieren möchten. 

Die Grundlage von ARP ist Media Access Control (MAC). MAC ist eine eindeutige Adresse auf Hardware-Ebene für eine Ethernet-Netzwerk-Schnittstellenkarte (NIC). Die Nummern werden werksseitig zugewiesen, lassen sich jedoch durch Software ändern. 

In der Theorie erfüllt ARP folgende Aufgaben:

  • Anfragen annehmen. Wenn ein neues Gerät den Beitritt zum Local Area Network (LAN) beantragt, erhält es eine IP-Adresse. 
  • Zuordnen. Geräte im LAN kommunizieren nicht über die IP-Adresse. Daher ordnet ARP der IP-Adresse eine MAC-Adresse zu. 
  • Anfragen senden. Wenn ARP die für eine IP-Adresse zu verwendende MAC-Adresse nicht kennt, sendet das Protokoll eine ARP-Paketanfrage und fragt bei den anderen Geräten im Netzwerk die fehlenden Informationen ab. 

Diese Funktionalität erspart Netzwerkadministratoren viel Zeit. Die Anfragen werden im Hintergrund verarbeitet und das Netzwerk übernimmt die erforderliche Bereinigung. Dies ist jedoch mit Gefahren verbunden.

ARP-Angriffe. Wichtige Definitionen

Ein böswilliger Entwickler, der es auf wichtige Daten abgesehen hat, kann Schwachstellen ausnutzen und sich in Ihr System einschleichen, ohne dass Sie etwas davon mitbekommen. 

Es gibt zwei Arten von ARP-Angriffen:

  • ARP-Spoofing: Der Hacker sendet gefälschte ARP-Pakete, um die MAC-Adresse des Angreifers mit einer bereits im LAN vorhandenen IP-Adresse zu verknüpfen. 
  • ARP-Poisoning: Nach erfolgreichem ARP-Spoofing modifiziert der Hacker die ARP-Tabelle des Unternehmens und manipuliert die MAC-Zuordnungen. Der Dominoeffekt nimmt seinen Lauf.

Ziel ist es, die MAC-Adresse des Hackers mit dem LAN zu verknüpfen. Dies hat zur Folge, dass sämtlicher Datenverkehr, der an das kompromittierte LAN gesendet wird, stattdessen beim Hacker landet. 

Nach einem erfolgreichen ARP-Angriff hat der Hacker folgende Möglichkeiten:

  • Hijacking: Dritte können den gesamten Datenverkehr an das LAN überwachen, bevor er freigegeben wird. 
  • Service verweigern: Dritte können Datenverkehr vom infizierten LAN zurückhalten, bis eine Lösegeldforderung erfüllt wird. 
  • Als Mittelsmann fungieren: Bei einem Man-