Seite weiterempfehlen
Die mit einem Stern (*) gekennzeichneten Felder müssen ausgefüllt werden.Die eingegebnen E-Mail-Adressen bzw. Informationen werden ausschließlich zur Zustellung der Empfehlung verwendet und nicht gespeichert.
Arpspoofing
Was ist Switching wirklich wert ?Seit nun bald zwei Jahrzehnten sind Topologien mit einem gemeinsamen Netzwerkmedium (sowohl bei Ethernet als auch bei Token Ring) bei der Datenübertragung in Netzwerken im Einsatz. Daraus ergibt sich ein Problem: Wenn Daten auf diesem gemeinsamen Medium übertragen werden, sendet jedes Gerät seine Daten automatisch an jedes andere im selben Segment.
Diese ursprüngliche Ethernet-Technologie wird mehr und mehr von der heute verfügbaren Switching-Technologie ersetzt. Die Switching-Technologie baut eine große Tabelle von Media Access Control-(MAC-)Adressen auf und leitet die für eine bestimmte MAC-Adresse vorgesehenen Daten durch einen schnellen Chip an das vorgesehene Ziel, sodass die Daten ansonsten von niemandem gesehen werden (na ja, von fast niemandem…).
Es ist möglich, Pakete aus Switching-Medien abzufangen, Cisco bietet diese Funktionalität beim Cisco Catalyst-Switch mit der Switched Port Analyzer-(SPAN-)Technologie. Wenn er bestimmte Ports oder virtuelle lokale Netzwerke (VLAN) spiegelt, können Pakete genauso abgefangen werden, als befänden Sie sich in einem einzigen Segment. Die meisten der heute eingesetzten IDS verwenden diese Technologie, um Datenverkehr abzufangen und analysieren zu können.
Soweit, so gut, währe da nicht ein gewisser Herr Dug Song, der eine für Switches absolute tödliche Technologie erfunden hat: dsniff. Mit dieser Technik ist es problemlos möglich, Daten aus Switching-Medien abzugreifen, indem alle Daten von einem angegebenen Host über das Sniffer-System geleitet werden.
Damit vernichtet diese Technologie auch ein für alle mal die traditionelle Meinung, dass Switches für grosse Sicherheit sorgen.
Der Angriff
Angenommen drei Systeme sind mit einem Netzwerk-Switch verbunden. Das System
beamer ist das Standardgateway und hat die IP-Adresse 10.1.1.9. Das System enterprise ist das Opfer und hat die IP-Adresse 10.1.1.3 und dem Angreifer gehört das System klingone mit der IP-Adresse 10.1.1.4, der als eine Art “Man-In-The-Middle” auftritt. Für den Angriff selbst ist eine Komponente aus dem Dsniff-Tool-Paket von Du Song (http://www.monkey.org/~dugsong/dsniff/
) notwendig: arpspoof. Zudem ist noch ein einfaches Paket-Analyse-Tool, wie etwa tcpdump von Vorteil. Bevor allerdings mit dem effektiven Angriff gestartet werden kann, muss das System klingone noch die Fähigkeit erlangen, alle Daten weiterleiten zu können, sich also wie ein Router zu verhalten, damit die umgeleiteten und abgefangenen Daten schliesslich doch ihr Ziel erreichen können. Eine einfache Methode hierfür ist das IP-Forwarding auf Kernel-Ebenen. Dies kann mit einem einfachen echo-Befehl auf das proc-Filesystem aktiviert werden:
echo 1 > /proc/sys/net/ipv4/ip_forward. Diese Technik ist allerdings nur bedingt empfohlen: Sie hat einen kleinen Schönheitsfehler, da unter Umständen ICMP-Redirect-Pakete gesendet werden, welche störend sein können. Besser ist es das Tool fragrouter (http://www.anzen.com/research/ndisbench/fragrouter.html
) mit der Option B1 zu verwenden, um eine einfache IP-Weiterleitung zu aktivieren. (Dieses Tool leistet übrigens auch dann gute Dienste, wenn man mit gesplitteten Pakete Netzwerkverkehr verschleiern möchte, beispielsweise vor einem IDS). [klingone] fragrouter -B1 Jetzt kann es mit dem eigentlichen Angriff losgehen. Zunächst benötigen wir die Hardwareadressen der Systeme beamer und enterprise, welche zur Ausführung von arpspoof notwendig sind. Dies wird durch zwei einfache Ping-Befehle erreicht:
[klingone] ping beamer PING 10.1.1.9 from 10.1.1.4 : 56(84) bytes of data. 64 bytes from 10.1.1.9: icmp_seq=0 ttl=128 time=1.3 ms [klingone] ping enterprise PING 10.1.1.3 from 10.1.1.4 : 56(84) bytes of data. 64 bytes from 10.1.1.3: icmp_seq=0 ttl=128 time=2.5 ms Zur besseren Veranschaulichung kann an dieser Stelle auf dem angreifenden System noch folgender Befehl ausgeführt werden.
[klingone] tcpdump | grep arp Somit können alle ARP-Anfragen/Antworten mitverfolgt werden.
Die effektive Umleitung wird nun wie folgt aktiviert:
[klingone] arpspoof -t 10.1.1.3 10.1.1.9 Dem Opfer enterprise wird praktisch vorgetäuscht, dass das Standartgateway jetzt auf einer anderen Hardware-Adresse liegt.
0:10:b5:a6:e1:e5 0:10:a4:1:e2:96 0806 42: arp reply 10.1.1.9 is-at 0:10:b5:a6:e1:e5 Eine Ausgabe der ARP-Tabelle des Opfers wüde an dieser Stelle ungefähr wie folgt aussehen:
C:\WINDOWSMASCHINE>arp -a Schnittstelle: 10.1.1.3 —- 0x20003 Internetadresse Physikal. Adresse Typ 10.1.1.4 00–10-b5-a6-e1-e5 dynamisch 10.1.1.9 00–10-b5-a6-e1-e5 dynamisch Der gesamte Verkehr wird somit nicht mehr zum “echten” Standardgateway sondern zum Angreifer geleitet.
Dieser hat nunmehr ein leichtes Spiel…
Bei Abbruch des Befehls arpspoof kann noch folgenden Ausgabe beobachtet werden, was beim Opfer eine Wiederherstellung des “Normalzustandes” bewirkt:
0:50:73:25:d7:e1 0:10:a4:1:e2:96 0806 42: arp reply 10.1.1.9 is-at 0:50:73:25:d7:e1 Die Gegenmaßnahmen
Nachdem es sich um eine Manipulation der lokalen, normalerweise dynamischen ARP-Tabelle handelt, gibt es zumindest eine Gegenmaßnahme, ohne grössere Umstände sofort umgesetzt werden kann: Sozusagen eine “Anti-ARP-Impfung”. Dabei wird der lokalen ARP-Tabelle zumindest für das Standard-Gateway ein statischer Eintrag hinzugefügt.
Unter LINUX kann das auf folgende Art geschehen:
arp -s 10.1.1.9 0:50:73:25:d7:e1 Zur anschliessenden Kontrolle wird die ARP-Tabelle mit folgendem Befehl angezeigt:
arp -a ? (10.1.1.9) auf 00:50:73:25:D7:E1 [ether] PERM auf eth0 Hierbei ist besonders die PERM-Flagge zu beachten, die einen permanenten ARP-Eintrag bezeichnet.
Eine weitere Möglichkeit ist der Einsatz des Tools arpwatch, welches die ARP-Ethernet/IP-Adresspaare überwacht und über jede Änderung informiert.
arpwatch -i rl0
^ Seitenanfang
