ARP-Vergiftung ist eine Art Cyberangriff, bei dem Schwachstellen im weit verbreiteten Address Resolution Protocol (ARP) ausgenutzt werden, um den Netzwerkverkehr zu stören, umzuleiten oder auszuspionieren. In diesem Artikel werfen wir einen kurzen Blick auf die Notwendigkeit von ARP, die Schwächen, die eine ARP-Vergiftung ermöglichen, und was Sie tun können, um Ihre Organisation zu schützen.
Was ist ARP?
Das Address Resolution Protocol (ARP) unterstützt den mehrschichtigen Ansatz, der seit den frühesten Tagen der Computervernetzung verwendet wird. Die Funktionen jeder Schicht, von den elektrischen Signalen, die über ein Ethernet-Kabel übertragen werden, bis hin zum HTML-Code, der zum Rendern einer Webseite verwendet wird, arbeiten weitgehend unabhängig voneinander. Auf diese Weise können wir IPv4 – eine Netzwerkschichttechnologie aus den frühen 1980er Jahren – mit neueren Technologien wie Wi-Fi und Bluetooth verwenden: Die unteren physischen und Datenverbindungsschichten übernehmen die Besonderheiten der Datenübertragung über ein bestimmtes Medium wie Radiowellen.
Der Zweck von ARP besteht darin, zwischen Adressen auf der Datenverbindungsschicht – bekannt als MAC–Adressen – und Adressen auf der Netzwerkschicht, die typischerweise IP-Adressen sind, zu übersetzen. Damit können vernetzte Geräte „fragen“, welchem Gerät derzeit eine bestimmte IP-Adresse zugewiesen ist. Geräte können diese Zuordnung auch dem Rest des Netzwerks mitteilen, ohne dazu aufgefordert zu werden. Aus Gründen der Effizienz werden Geräte diese Antworten normalerweise zwischenspeichern und eine Liste der aktuellen MAC-zu-IP-Zuordnungen erstellen.
Was ist ARP-Vergiftung?
ARP-Vergiftung besteht darin, die Schwachstellen in ARP zu missbrauchen, um die MAC-zu-IP-Zuordnungen anderer Geräte im Netzwerk zu beschädigen. Die Sicherheit war bei der Einführung von ARP im Jahr 1982 nicht von größter Bedeutung, so dass die Entwickler des Protokolls niemals Authentifizierungsmechanismen zur Validierung von ARP-Nachrichten enthielten. Jedes Gerät im Netzwerk kann eine ARP-Anfrage beantworten, unabhängig davon, ob die ursprüngliche Nachricht dafür bestimmt war oder nicht. Wenn beispielsweise Computer A nach der MAC-Adresse von Computer B „fragt“, kann ein Angreifer auf Computer C antworten, und Computer A würde diese Antwort als authentisch akzeptieren. Dieses Versehen hat eine Vielzahl von Angriffen ermöglicht. Durch die Nutzung leicht verfügbarer Tools kann ein Bedrohungsakteur den ARP-Cache anderer Hosts in einem lokalen Netzwerk „vergiften“ und den ARP-Cache mit ungenauen Einträgen füllen.
ARP-Vergiftungsangriff Schritte
Die genauen Schritte eines ARP-Vergiftungsangriffs können variieren, bestehen jedoch im Allgemeinen aus mindestens den folgenden Schritten:
Angreifer wählt eine oder mehrere Opfermaschinen aus
Der erste Schritt bei der Planung und Durchführung eines ARP-Vergiftungsangriffs ist die Auswahl eines Ziels. Dies kann ein bestimmter Endpunkt im Netzwerk, eine Gruppe von Endpunkten oder ein Netzwerkgerät wie ein Router sein. Router sind attraktive Ziele, da ein erfolgreicher ARP-Poisoning-Angriff auf einen Router den Datenverkehr für ein gesamtes Subnetz unterbrechen kann.
Angreifer startet Tools und startet den Angriff
Eine Vielzahl von Tools steht jedem zur Verfügung, der einen ARP-Vergiftungsangriff durchführen möchte. Nachdem der Angreifer das Tool seiner Wahl gestartet und die entsprechenden Einstellungen konfiguriert hat, beginnt er mit dem Angriff. Sie können sofort mit dem Senden von ARP-Nachrichten beginnen oder warten, bis eine Anforderung empfangen wird.
Angreifer führt etwas mit dem falsch gesteuerten Datenverkehr aus
Sobald der ARP-Cache auf einem oder mehreren Opfercomputern beschädigt wurde, führt der Angreifer normalerweise eine Aktion mit dem falsch gesteuerten Datenverkehr aus. Sie können es inspizieren, verändern oder dazu führen, dass es „blackholed“ wird und niemals sein beabsichtigtes Ziel erreicht. Die genaue Aktion hängt von den Motiven des Angreifers ab.
Arten von ARP-Poisoning-Angriffen
Es gibt zwei allgemeine Möglichkeiten, wie ein ARP-Poisoning-Angriff auftreten kann: Der Angreifer kann entweder warten, um ARP-Anforderungen für ein bestimmtes Ziel zu sehen und eine Antwort auszugeben, oder eine unerwünschte Broadcast-Nachricht senden, die als „unentgeltliches ARP“ bezeichnet wird. Der erste Ansatz ist im Netzwerk weniger auffällig, aber möglicherweise weniger weitreichend in seinen Auswirkungen. Ein unentgeltliches ARP kann unmittelbarer sein und eine größere Anzahl von Opfern betreffen, hat jedoch den Nachteil, dass viel Netzwerkverkehr generiert wird. Bei beiden Ansätzen können die beschädigten ARP-Cache (s) auf Opfercomputern für weitere Zwecke genutzt werden:
Man-in-the-Middle (MiTM) -Angriff
MiTM-Angriffe sind wahrscheinlich das häufigste und potenziell gefährlichste Ziel einer ARP-Vergiftung. Der Angreifer sendet gefälschte ARP-Antworten für eine bestimmte IP-Adresse, normalerweise das Standardgateway für ein bestimmtes Subnetz. Dies führt dazu, dass Opfercomputer ihren ARP-Cache mit der MAC-Adresse des Angreifers anstelle der MAC-Adresse des lokalen Routers füllen. Opfermaschinen leiten dann den Netzwerkverkehr fälschlicherweise an den Angreifer weiter. Tools wie Ettercap ermöglichen es dem Angreifer, als Proxy zu fungieren und Informationen anzuzeigen oder zu ändern, bevor der Datenverkehr an sein beabsichtigtes Ziel gesendet wird. Für das Opfer kann alles normal erscheinen.
Die Kombination von ARP-Vergiftung mit DNS-Vergiftung kann die Wirksamkeit eines MiTM-Angriffs dramatisch erhöhen. In diesem Szenario, Ein Opferbenutzer gibt möglicherweise eine legitime Site ein, z google.com und die IP-Adresse des Computers des Angreifers anstelle der rechtmäßigen Adresse erhalten.
DOS-Angriff (Denial of Service)
Ein DoS-Angriff zielt darauf ab, einem oder mehreren Opfern den Zugriff auf Netzwerkressourcen zu verweigern. Im Falle von ARP kann ein Angreifer ARP-Antwortnachrichten senden, die fälschlicherweise Hunderte oder sogar Tausende von IP-Adressen einer einzelnen MAC-Adresse zuordnen und den Zielcomputer möglicherweise überwältigen. Diese Art von Angriff, manchmal auch als ARP-Flooding bezeichnet, kann auch zum Zielen von Switches verwendet werden, was sich möglicherweise auf die Leistung des gesamten Netzwerks auswirkt.
Session-Hijacking
Session-Hijacking-Angriffe ähneln Man-in-the-Middle, mit der Ausnahme, dass der Angreifer den Datenverkehr vom Opfercomputer nicht direkt an sein beabsichtigtes Ziel weiterleitet. Stattdessen erfasst der Angreifer eine echte TCP-Sequenznummer oder ein Web-Cookie vom Opfer und verwendet es, um die Identität des Opfers anzunehmen. Dies kann beispielsweise verwendet werden, um auf das Social-Media-Konto eines Zielbenutzers zuzugreifen, wenn dieser angemeldet ist.
Was ist das Ziel einer ARP-Vergiftung?
Hacker haben eine Vielzahl von Motiven, und ARP-Vergiftung ist keine Ausnahme. Ein Angreifer kann einen ARP-Poisoning-Angriff aus einer Vielzahl von Gründen ausführen, von hochrangiger Spionage bis hin zu dem Nervenkitzel, Chaos im Netzwerk zu verursachen. In einem möglichen Szenario verwendet ein Angreifer gefälschte ARP-Nachrichten, um die Rolle des Standardgateways für ein bestimmtes Subnetz zu übernehmen und den gesamten Datenverkehr effektiv auf den Computer des Angreifers anstelle des lokalen Routers zu lenken. Sie können dann den Datenverkehr ausspionieren, ändern oder löschen. Diese Angriffe sind in dem Sinne „laut“, dass sie Beweise hinterlassen, aber sie müssen den tatsächlichen Betrieb des Netzwerks nicht beeinträchtigen. Wenn Spionage das Ziel ist, leitet die angreifende Maschine den Datenverkehr einfach an ihr ursprüngliches Ziel weiter und gibt dem Endbenutzer keinen Hinweis darauf, dass sich etwas geändert hat.
Andererseits könnte der Sinn eines DoS-Angriffs darin bestehen, eine sehr auffällige Störung des Netzwerkbetriebs zu verursachen. Während dies darauf abzielen könnte, ein Unternehmen seiner Betriebsfähigkeit zu berauben, werden DoS-Angriffe häufig von weniger erfahrenen Angreifern durchgeführt, um Probleme zu verursachen.
Insider-Angriffe sind besonders besorgniserregend, wenn man über ARP-Vergiftungen nachdenkt. Gefälschte ARP-Nachrichten reichen nicht über die Grenzen eines lokalen Netzwerks hinaus, daher muss der Angriff von einem Gerät ausgehen, das lokal verbunden ist. Es ist nicht unmöglich für einen Außenstehenden, einen ARP-Angriff zu initiieren, aber er müsste zuerst ein lokales System auf andere Weise kompromittieren. Ein Insider hingegen würde nur Netzwerkzugriff und einige leicht verfügbare Tools benötigen.
ARP-Spoofing gegen ARP-Vergiftung
Die Begriffe ARP-Spoofing und ARP-Vergiftung werden im Allgemeinen synonym verwendet. Technisch gesehen bezieht sich Spoofing auf einen Angreifer, der sich als MAC-Adresse eines anderen Computers ausgibt, während Poisoning die Beschädigung der ARP-Tabellen auf einem oder mehreren Opfercomputern bezeichnet. In der Praxis sind dies jedoch beide Unterelemente desselben Angriffs, und im allgemeinen Sprachgebrauch werden beide Begriffe verwendet, um sich auf den Angriff als Ganzes zu beziehen. Andere ähnliche Begriffe können ARP-Cache-Vergiftung oder ARP-Tabellenbeschädigung umfassen.
Was sind die Auswirkungen einer ARP-Vergiftung?
Die direkteste Auswirkung eines ARP-Poisoning-Angriffs besteht darin, dass der Datenverkehr, der für einen oder mehrere Hosts im lokalen Netzwerk bestimmt ist, stattdessen an ein Ziel der Wahl des Angreifers geleitet wird. Welche Auswirkungen dies genau hat, hängt von den Besonderheiten des Angriffs ab. Der Datenverkehr kann an den Computer des Angreifers oder an einen nicht vorhandenen Speicherort gesendet werden. Im ersten Fall kann es keinen beobachtbaren Effekt geben, während der zweite den Zugriff auf das Netzwerk hemmen kann.
Die ARP-Cache-Vergiftung selbst hat keine dauerhaften Auswirkungen. ARP-Einträge werden von wenigen Minuten auf Endgeräten bis zu mehreren Stunden für Switches zwischengespeichert. Sobald ein Angreifer aufhört, die Tabellen aktiv zu vergiften, altern die beschädigten Einträge einfach und der ordnungsgemäße Verkehrsfluss wird bald wieder aufgenommen. Eine ARP-Vergiftung allein hinterlässt keine dauerhafte Infektion oder keinen Halt auf den Maschinen des Opfers. Hacker verketten jedoch häufig viele Arten von Angriffen miteinander, und ARP-Vergiftungen können als Teil einer größeren Kampagne verwendet werden.
So erkennen Sie einen ARP Cache Poisoning-Angriff
Es gibt eine Vielzahl kommerzieller und Open-Source-Software, um ARP-Cache-Vergiftungen zu erkennen, aber Sie können die ARP-Tabellen problemlos auf Ihrem eigenen Computer überprüfen, ohne etwas zu installieren. Auf den meisten Windows-, Mac- und Linux-Systemen zeigt die Ausgabe des Befehls „arp -a“ über ein Terminal oder eine Befehlszeile die aktuellen IP-zu-MAC-Adresszuordnungen des Computers an.
Tools wie arpwatch und X-ARP sind nützlich für die kontinuierliche Überwachung des Netzwerks und können einen Administrator warnen, wenn Anzeichen eines ARP-Cache-Poisoning-Angriffs auftreten. Fehlalarme sind jedoch ein Problem und können eine große Anzahl unerwünschter Warnungen verursachen.
So verhindern Sie ARP-Vergiftungsangriffe
Es gibt verschiedene Ansätze, um ARP-Vergiftungsangriffe zu verhindern:
Statische ARP-Tabellen
Es ist möglich, alle MAC-Adressen in einem Netzwerk statisch ihren rechtmäßigen IP-Adressen zuzuordnen. Dies ist sehr effektiv bei der Verhinderung von ARP-Vergiftungsattacken, verursacht jedoch einen enormen Verwaltungsaufwand. Jede Änderung am Netzwerk erfordert manuelle Aktualisierungen der ARP-Tabellen auf allen Hosts, wodurch statische ARP-Tabellen für die meisten größeren Organisationen nicht durchführbar sind. In Situationen, in denen Sicherheit von entscheidender Bedeutung ist, kann die Erstellung eines separaten Netzwerksegments, in dem statische ARP-Tabellen verwendet werden, zum Schutz kritischer Informationen beitragen.
Switch-Sicherheit
Die meisten verwalteten Ethernet-Switches verfügen über Funktionen zur Abwehr von ARP-Poisoning-Angriffen. In der Regel als dynamische ARP-Inspektion (DAI) bezeichnet, bewerten diese Funktionen die Gültigkeit jeder ARP-Nachricht und löschen Pakete, die verdächtig oder bösartig erscheinen. DAI kann in der Regel auch so konfiguriert werden, dass die Rate begrenzt wird, mit der ARP-Nachrichten den Switch passieren können, wodurch DoS-Angriffe effektiv verhindert werden.
DAI und ähnliche Funktionen waren einst exklusiv für High-End-Netzwerkgeräte, sind aber heute bei fast allen Switches der Business-Klasse üblich, einschließlich solcher, die in kleineren Unternehmen zu finden sind. Es wird allgemein als bewährte Methode angesehen, DAI an allen Ports mit Ausnahme derjenigen zu aktivieren, die mit anderen Switches verbunden sind. Die Funktion hat keine signifikanten Auswirkungen auf die Leistung, muss jedoch möglicherweise in Verbindung mit anderen Funktionen wie DHCP-Snooping aktiviert werden.
Das Aktivieren der Portsicherheit auf einem Switch kann auch dazu beitragen, ARP-Cache-Poisoning-Angriffe abzuschwächen. Die Portsicherheit kann so konfiguriert werden, dass nur eine einzige MAC-Adresse an einem Switch-Port zulässig ist, wodurch ein Angreifer die Möglichkeit hat, böswillig mehrere Netzwerkidentitäten anzunehmen.
Physische Sicherheit
Die ordnungsgemäße Kontrolle des physischen Zugriffs auf Ihren Geschäftssitz kann dazu beitragen, ARP-Poisoning-Angriffe zu mildern. ARP-Nachrichten werden nicht über die Grenzen des lokalen Netzwerks hinaus geroutet, daher müssen sich potenzielle Angreifer in physischer Nähe des Opfernetzwerks befinden oder bereits die Kontrolle über eine Maschine im Netzwerk haben. Beachten Sie, dass bei drahtlosen Netzwerken die Nähe nicht unbedingt bedeutet, dass der Angreifer direkten physischen Zugriff benötigt. Ob drahtgebunden oder drahtlos, die Verwendung von Technologie wie 802.1x kann sicherstellen, dass nur vertrauenswürdige und / oder verwaltete Geräte eine Verbindung zum Netzwerk herstellen können.
Netzwerkisolation
Wie bereits erwähnt, werden ARP-Nachrichten nicht über das lokale Subnetz hinaus übertragen. Dies bedeutet, dass ein gut segmentiertes Netzwerk insgesamt weniger anfällig für ARP-Cache-Poisoning ist, da ein Angriff in einem Subnetz keine Auswirkungen auf Geräte in einem anderen Subnetz haben kann. Die Konzentration wichtiger Ressourcen in einem dedizierten Netzwerksegment, in dem eine verbesserte Sicherheit vorhanden ist, kann die potenziellen Auswirkungen eines ARP-Poisoning-Angriffs erheblich verringern.
Verschlüsselung
Verschlüsselung verhindert zwar nicht, dass ein ARP-Angriff auftritt, kann jedoch den potenziellen Schaden verringern. Eine beliebte Verwendung von MiTM-Angriffen bestand darin, Anmeldeinformationen zu erfassen, die früher häufig im Klartext übertragen wurden. Mit der weit verbreiteten Verwendung von SSL / TLS-Verschlüsselung im Web ist diese Art von Angriff schwieriger geworden. Der Bedrohungsakteur kann den Datenverkehr weiterhin abfangen, aber in verschlüsselter Form nichts damit anfangen.
Nur eine von vielen Bedrohungen
Obwohl es sie schon viel länger gibt als moderne Bedrohungen wie Ransomware, ist die ARP-Vergiftung immer noch eine Bedrohung, der sich Unternehmen stellen müssen. Wie alle Cyberbedrohungen wird es am besten durch ein umfassendes Informationssicherheitsprogramm angegangen. Eine Lösung wie die Varonis Threat Detection and Response kann Ihnen helfen, sich ein Bild von der allgemeinen Sicherheitslage Ihres Unternehmens zu machen. Varonis Edge kann dabei helfen, Anzeichen einer Datenexfiltration zu erkennen, die nach einem ARP-Vergiftungsangriff auftreten können.