Seite 1

Vortrag Rechnernetze

Thema:

Arp Spoofing

Von: Stev Eisenhardt / Inf04

Seite 2

Übersicht:

• Definitionen…………………………………………………………………………… Seite 3

• Arten von Spoofing………………………………………………………………… Seite 4

• Praktische Beispiele……………………………………………………………….. Seite 7

• Spoofing von SSL Verbindungen…………………………………………….. Seite 12

• Gegenmaßnahmen………………………………………………………………… Seite 13

• Quellen………………………………………………………………………………….. Seite 16

Seite 3

Definitionen:

Spoofing:

Nennt man die verschiedenen Täuschungsversuche in Computernetzwerken zum verschleiern der Eigenen und Vorgaukeln einer falschen Identität. Es wird dazu benutzt Authentifizierungs- und Identifikationsverfahren zu untergraben.

ARP:

Das Address Resolution Protocol dient der Zuordnung von Netzwerkadressen zu Hardwareadressen.

ARP Paket Format:

0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

Ethernet Destination Address (6 Byte) Ethernet Source

Frame Type (ARP, 0x0806) HW Address Format (Ether 0x1) Prot-Addr Format(IP 0x0800) HW Länge: 6 | Prot-Länge: 4

Op-Code: Req. 1, Rep. 2 HW Adresse des Senders (Ethernetadresse) (6 Byte)

Protokoll Adresse des Senders (IP Adresse) (4 Byte) HW Adresse des Zieles

(Ethernetadresse) (6 Byte) Protokoll Adresse des Zieles (IP Adresse) (4 Byte)

Bei einem ARP-Request ist die gesuchte Ziel-Adresse leer (Null). Im ARP-Reply wird die Ziel-Adresse eingetragen, beide Blöcke werden vertauscht und der Op-Code wird angepasst. Dann kommt das Paket auf den Draht.

Seite 4

Arten von Spoofing:

• DNS Spoofing:

– Beim DNS Spoofing wird eine DNS Abfrage so gefälscht, dass z.B. www.ibm.com auf die IP des Angreifers zeigt. Dabei beantwortet der Angreifer jeden DNS Query des Zielrechners mit einem eigenen DNS Response und trägt als Reply- Adresse seine IP-Adresse ein. Da der eigentliche DNS Response des DNS-Servers in der Regel erst nach der Antwort des angreifenden Rechners auf dem Zielsystem ankommt, wird er dort ignoriert.

– Ein Verfahren um dies zu verhindern ist DNSSEC, mit diesem kann die Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. Bei DNSSEC wird ein asymmetrisches Kryptosystem zur Authentizitätsprüfung verwendet.

• IP Spoofing

– Als IP Spoofing wird das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse bezeichnet. Dabei werden die Kopfdaten des IP Pakets geändert. Verwendet werden kann dieses Verfahren zur Authentifizierung bei auf IP basierenden Sicherheitssystemen.

– Das Aufbauen einer TCP ist allerdings nicht möglich da die Antwort Pakete an die gefälschte Adresse zurück gesandt werden.

• Mail Spoofing:

– Beim Mail Spoofing wird der Header der Email modifiziert. Dabei wird der Absender verändert und die Mail somit unter vortäuschen einer falschen Identität versandt. Dies ist möglich da der Absender einer Email nur selten vom SMTP Server authentifiziert oder überprüft wird.

Seite 5

• URL Spoofing:

– Die 1. Möglichkeit des URL Spoofing nutzt Fehler in Programmen, um die URL zu fälschen. Z.B. bei http://google.com@172.101.1.1 zeigte der Internet Explorer http://google.com an. Der User ist nun der Meinung der er beim klicken auf die Seite google.com gelangt wobei seine Anfragen allerdings bei dem Server mit der IP 172.101.1.1 auflaufen.

– Die 2. Möglichkeit ist die Manipulation der HTTP-Referrer-URL, dies ist die Seite von der ein User durch klicken eines Links zu aktuellen Seite gekommen ist. Der Browser sendet die Referrer im URL Syntax mit. Bestimmte Seiten akzeptieren Referrer als Authentifizierung, das heißt wenn der Referrer auf eine Seite im sicheren Bereich eines Servers verweist, wird der User fälschlicher weise als berechtigt erkannt auch andere Inhalte dieses Bereiches sehen zu dürfen.

• Access Point Spoofing:

– Beim APS wird dem Rechner ein gefälschter Access Point vorgegaukelt. Dieser muss dazu gebracht werden zum gefälschten AP zu wechselt , entweder automatisch falls “stärkeres Signal” vorhanden- oder manuell - durch Deauth Pakete. Deauth Pakete sind Management Nachrichten vom AP die beim Reboot ausgelöst werden (müssen AP-BSSID enthalten) damit die Clients dieses AP wissen das sie sich nun disconnecten sollen . Dadurch kann man die Verbindung zwischen Access Point und Rechner unterbrechen (und evtl. den Platz des authentifizierten Users übernehmen ) und eine Verbindung zwischen Fake AP und Rechner aufbauen.

• DHCP Spoofing (Dyn. Host Conf. Protocol)

– Da DHCP auf UDP basiert ist es leicht manipulierbar. Das Ziel des Angreifers ist es alle IP zu reservieren um dann selbst als DHCP Server zu fungieren . Bei IP-Anfragen von Clients wird nun als Default Gateway die IP des Angriffsrechners übergeben . Somit wird der gesamte Trafik des Zielrechners über den Angriffsrechner geleitet. Dies ermöglicht nun ein problemloses Mitschneiden des Netzwerkverkehrs.

Seite 6

• ARP Spoofing

– Es wird als sogenannte Man in the Middle bezeichnet. Ziel ist auch hier den Netzwerktrafik von zwei Rechnern über einen Angriffsrechner zu leiten. Beim ARP Spoofing wird Die Zuordnung zwischen IP und MAC Adresse im Arp Stack des Targets und Hosts gefälscht. Im gefälschte ARP Eintrag zeigt auf die gewünschte IP die MAC Adresse des Angreifers. Dies wird erreicht in dem man die beiden Zielssysteme mit Arp Reply´s Bombardiert um zu erreichen dass sie die entsprechenden Einträge in Ihrem Arp Stack ändern.

– Beim Bombardieren eines Switches mit vielen Mac´s schalten viele Switches in den Hub Mod .

– Bei Hubs wird grundsätzlich jedes Paket an jeden Port geschickt, Arp Spoofing ist hier somit nicht nötig.

Seite 7

Praktische Beispiele:

Beispiel 1: Ettercap

Systeme: Win98/2000/XP

Unix/Linux

Schritt 1:

Das Umleiten das Trafiks mit Hilfe des Tools arpspoof

Schritt 2:

Starten von Ettercap und Angabe des Netzwerk Interfaces

Seite 8

Schritt 3:

Nun muss die IP des Zielrechners angegeben werden

Schritt 4:

Wir bekommen jetzt alle Verbindungen des Targets angezeigt

Seite 9

Schritt 5:

Nach Auswahl einer Verbindung werden die übertragenen Daten angezeigt und automatisch herausgefilterte Passwörter gesondert angezeigt.

Seite 10

Beispiel 2: Cain

Systeme: Win98/2000/XP

Schritt 1:

Scannen des Subnetzes nach IP Adressen und den zugehörigen Mac Adressen

Schritt 2:

Angabe des Zielrechners und des Hosts des Netzwerkverkehr gesnifft werden soll

Seite 11

Schritt 3:

Anzeige der Verbindungen des Zielrechners

Schritt 4:

Das Programm liest automatisch durchlaufende Passwörter aus und listet es entsprechend dem zugehörigen Protokolltyp auf

Seite 12

Spoofing von SSL – Verbindungen

• Zum Spoofing einer SSL Verbindung muss Zuerst einmal der Datenverkehr wieder über unseren Rechner laufen. Dann nutzen wir das Tool dnsspoof um die Anfragen an den eigentlichen Webserver auf unseren Rechner zu leiten. Das Tool ”webmitm” erlaubt es uns dann die Verbindung von uns zum Client mit einem uns bekannten SSL-Cert zu verschlüsseln. Der Zielrechner fordert von uns nun das Zertifikat an um seine vermeintliche Verbindung zum eigentlich gewünschten Webserver aufzubauen. Er baut allerdings eine Zertifizierte Verbindung zu uns auf. Wir müssen nun abermals eine Zertifizierte Verbindung zum Webserver aufbauen und arbeiten nun als Client an diesem. Die Daten werden dadurch bei uns entschlüsselt was ja unser Ziel ist. Mit etwas Aufwand können wir diese mitlesen.

Das Problem: Der Client bekommt eine Warnmeldung ( Zertifikat hat sich geändert oder ist abgelaufen).

Da die meisten User die aber ohne es durchzulesen akzeptieren ist das kein größeres Problem.

Bild: Beispiel für Angabe eines Eigenen Zertifikats mit Hilfe des Tools Cain

Seite 13

Gegenmaßnahmen

1. IDS (Intrusion Detektion Systeme)

– Das sind Systeme die Rechner und Netzwerke auf Indizien von Sicherheitsverletzungen überwachen. Dazu werden Eintreffende Daten gesammelt und Analysiert. bei Erkennung eines Angriffes werden entsprechend definierte Gegenmaßnahmen eingeleitet. Der User wird über Logging über Erfolgte Angriffe informiert.

– Beispiele für IDS System sind Snort, Prelude und Hogwash.

Bild: Grafische Darstellung der Funktion eines IDS

Seite 14

Arten von IDS Systemen:

- Host basierendes IDS (HIDS)

- Überwachung eines Systems (wichtige Server)

- verwalten wichtiger Stacks z.b. Arp Stack

- Network basierendes IDS (NIDS)

- Überwachung des Netzwerkverkehrs

- Network Taps – ähnlich einem Sniffer, zapft das Netzwerk an

2. Statisches Eintragen der Mac Adressen

Durch eintragen von statischen Adressen können Mac Adressen fest an IP Adressen gebunden werden. Dies erfolgt wie in den unteren Bildern Illustriert.

Seite 15

3. Managebare Switches

Bei Layer3 Switches ist es möglich IP- und dazugehörige Mac-Adresse fest an einen Port zu binden.

4. Bei SSL Verbindungen sollten die Zertifikate überprüft werden , zb. durch einen Telefonanruf beim Inhaber

5. Bei IP Spoofing hilft ein Paketfilter, von Außen kommende Pakete mit Adressen von innen werden verworfen.

Seite 16

Quellen

• Privacy im Internet (Dogan Kesdogan)

• Sicherheitmanagement in TCP/IP Netzen

(Kai Martius)

• Arp spoofing (heise security)

• Wikipedia

• Evaluation von Intrusion Detection Systemen

(Spyridon Iliopoulos Diplomarbeit Uni München