Christian Book – 2013 – Spoofing und Poisoning - RFC 791

rfc791.de

Christian Book – 2013 – Spoofing und Poisoning - RFC 791

fc791.de | Christian Book

Spoofing und Poisoning

Whitepaper

Autor:

Christian Book

Kontakt:

security@christian-book.de

Veröffentlichung: 29. April 2013

Quelle:

http://rfc791.de/whitepaper


Whitepaper Spoofing und Poisoning 29. April 2013

Inhaltsverzeichnis

1. Spoofing und Poisoning ................................................................................................... 2

1.1. ARP Spoofing ............................................................................................................. 2

1.2. MAC-Flooding ............................................................................................................ 4

1.3. IP Spoofing.................................................................................................................. 4

1.4. DNS Spoofing ............................................................................................................. 5

1.5. Pharming .................................................................................................................... 5

2. Über den Autor ................................................................................................................. 7

Abbildungen

Abbildung 1: ARP-Spoofing (Ausgangssituation) ................................................................ 3

Abbildung 2: ARP-Spoofing mittels Man-In-The-Middle ...................................................... 3

Abbildung 3: Ablauf einer Pharming-Attacke ..................................................................... 6

Weitere interessante Whitepaper zu den

Themen IT-Sicherheit und Netzwerken finden Sie unter

HTTP://RFC791.DE/WHITEPAPER

Christian Book

http://rfc791.de/whitepaper 1/7


Whitepaper Spoofing und Poisoning 29. April 2013

1. Spoofing und Poisoning

Spoofing bezeichnet verschiedene Methoden zur Verschleierung der eigenen Identität

in Netzwerken. Anfangs wurde der Begriff Spoofing ausschließlich für gefälschte

IP-Pakete verwendet. Dabei wurde die eigene Absenderadresse durch eine andere

IP-Adresse ausgetauscht um somit unentdeckt in Netzwerken zu agieren.

Inzwischen wird diese Methode jedoch auf eine Vielzahl unterschiedlicher Technologien

angewendet. So umfasst Spoofing inzwischen alle Praktiken, bei denen die eigene

Identität durch die Nutzung fremder Merkmale verschleiert werden soll.

1.1. ARP Spoofing

Das Address Resolution Protocol (ARP) dient in erster Linie dazu, zu einer bekannten

IP-Adresse (OSI-Schicht 3) die physikalische Adresse der Netzwerkkarte die MAC-

Adresse (OSI-Schicht 2) zu ermitteln. Diese Zuordnung wird in den ARP-Tabellen der

beteiligten Computer hinterlegt. ARP wird nahezu ausschließlich in IPv4-basierten

Netzwerken auf der Basis von Ethernet eingesetzt. Die Funktionalität von ARP wird bei

IPv6 vom Neighbor Discovery Protocol (NDP) bereitgestellt.

Ein ARP Request wird mit der MAC-Adresse im Ethernet-Frame und der IP-Adresse des

anfragenden Computers als Absender-Adresse sowie der IP-Adresse des gesuchten

Computers als Empfänger-IP-Adresse im IP-Paket via Broadcast an alle Computer

des lokalen Netzwerkes gesendet. Als MAC-Adresse des Empfängers wird die

Broadcast-Adresse ff-ff-ff-ff-ff-ff verwendet. Jeder Computer, der einen ARP-Request

empfängt, prüft, ob das Paket an die eigene IP-Adresse IP-Adresse adressiert ist. Sofern

dies zutrifft, antwortet der Computer mit einem ARP-Reply. Dieses Paket wird ausschlie0lich

an die MAC-Adresse des anfragenden Computers gesendet (Unicast).

Dieser fügt die dadurch bekannte Kombination von IP- und MAC-Adresse seiner ARP-

Tabelle hinzu. ARP-Request und ARP-Reply nutzen ein identisches Paket-Format.

Daneben können alle Empfänger eines ARP-Requests die Kombination von IP-

Adresse und MAC-Adresse des anfragenden Computers in ihre ARP-Tabelle eintragen

oder einen ggf. bestehenden Eintrag aktualisieren.

Gratuitous ARP bezeichnet ein spezielles Einsatzgebiet des ARP. Dabei sendet ein

Computer einen ARP-Request, fügt dabei jedoch die eigene IP-Adresse als Quellund

Ziel-IP-Adresse ein. Damit teilt er seine aktuelle MAC-Adresse unaufgefordert allen

Computern im Netzwerk-Segment mit.

Die Begriffe ARP-Spoofing und ARP Request Poisoning werden synonym verwendet

und bezeichnen das Versenden von gefälschten ARP-Paketen. Durch das Versenden

von gefälschten ARP-Paketen werden dabei die ARP-Tabellen innerhalb eines Netzwerk

so verändert, dass anschließend der Datenverkehr zwischen zwei Rechnern abgehört

oder sogar manipuliert werden kann.

Der Datenverkehr zwischen Computer A und Computer B kann abgehört werden,

indem ein Angreifer an Computer A ein manipuliertes Gratuitous ARP Paket sendet.

Dabei gibt er die eigene MAC-Adresse anstelle der von Computer B an, so dass

Christian Book

http://rfc791.de/whitepaper 2/7


Whitepaper Spoofing und Poisoning 29. April 2013

Computer A zukünftig die an Computer B adressierten, an den Angreifer sendet. Dies

geschieht ebenso mit Computer B. Dieser sendet an Computer A adressierte Pakete

daraufhin ebenfalls an den Angreifer. Der Angreifer fungiert nun als Man-In-The-

Middle. Er muss jedoch alle Pakete an die eigentlichen Empfänger weiterleiten, damit

eine Datenverbindung aufgebaut werden kann. Diese Verbindung kann der Angreifer

abhören und sogar manipulieren, sofern höhere Protokolle keine effektiven

Sicherheitsmerkmale wie beispielsweise Verschlüsselung implementieren.

Abbildung 1: ARP-Spoofing (Ausgangssituation)

Abbildung 2: ARP-Spoofing mittels Man-In-The-Middle

Das Abhören des Netzwerkverkehrs kann in nicht-geswitchten Netzwerken naturgemäß

ohne ARP Spoofing stattfinden. In einer Hub-basierten Infrastruktur werden alle

Pakete vom Hub an alle angeschlossenen Geräte weitergeleitet, da dieser keine

Möglichkeit zur Adressierung der Ethernet-Frames kennt. Das Mitlesen von kann mit

Sniffer-Software an jedem dieser Geräte unbemerkt erfolgen. In geswitchten Netz-

Christian Book

http://rfc791.de/whitepaper 3/7


Whitepaper Spoofing und Poisoning 29. April 2013

werken ist ARP-Spoofing jedoch erforderlich, da Switches regelmäßig Ethernet-

Frames als Unicast zielgerichtet an den entsprechenden Empfänger verschicken.

1.2. MAC-Flooding

Unter MAC-Flooding oder Switch-Jamming ist eine Technik bekannt, um ein geswitchtes

Ethernet-Netzwerk anzugreifen. Der Angreifer macht sich dabei zunutze, dass

jeder Switch aufgrund seines verfügbaren Speichers nur eine begrenzte Anzahl von

MAC-Adressen angeschlossener Geräte speichern kann. Jeder Switch speichert in

der Source Address Table (SAT) die MAC-Adressen der angeschlossenen Geräte. Dies

ermöglicht, Ethernet-Frames mittels Unicast ausschließlich an den jeweils adressierten

Computer weiterzuleiten.

Beim MAC-Flooding werden sehr viele Datenpakete mit unterschiedlichen MAC-

Adressen an einen Switch geschickt. Dieser speichert nun jede einzelne dieser MAC-

Adressen in seiner SAT. Dies gelingt solange, wie genügend Speicher zur Verfügung

steht. Sobald nicht mehr ausreichend Speicher zur Verfügung steht, schalten der

Switch in den „Failopen Mode“ um. Dadurch werden nun alle ankommenden Ethernet-Frames

via Broadcast an alle angeschlossenen Geräte weitergeleitet. Damit verhält

sich der überlastete Switch analog zu einem Hub und bietet den Angreifer die

Möglichkeit, den Netzwerkverkehr mitzuschneiden.

1.3. IP Spoofing

IP-Spoofing beschreibt das Versenden von IP-Paketen mit gefälschter Absender-IP-

Adresse. Gemäß RFC 791 enthält die Header-Information jedes IP-Pakets die Quelladresse.

Der Angreifer manipuliert bei IP-Spoofing die Header-Informationen der von

ihm verschickten Pakete und fügt eine andere IP-Adresse als Absender ein. Damit

kann der Angreifer die Herkunft des IP-Paketes verschleiern und sich im Netzwerk als

ein anderes Gerät ausgeben.

IP-Spoofing kann grundsätzlich nur eingeschränkt zum Eindringen in fremde IT-

Systeme genutzt werden, da alle Antwortpakete an die gefälschte Adresse gesendet

werden. Sofern es sich bei dem Netzwerk-Segment jedoch um Hub-basiertes

Netz handelt oder MAC-Flooding eingesetzt wurde, werden alle Ethernet-Frames als

Broadcast weitergeleitet und erreichen somit ggf. auch den Rechner des Angreifers.

Dieses Verhalten jedoch kann jedoch auch genutzt werden, um fremde IT-Systeme

durch Denial-of-Service (DoS) Attacken zu schädigen. Dabei wird mittels gespooften

IP-Paketen SYN-Flooding betrieben: gefälschte IP-Pakete werden an eine große Zahl

von Computern versendet, sodass die Antwortpakete an das als Absender angegebenen

Opfer geschickt werden. Sofern die Anzahl der Antwort-Pakete ausreichend

groß ist, können die verfügbaren Ressourcen des Opfers vollständig zur Bearbeitung

der ungewollten IP-Pakete benötigt werden. Die eigentlichen Dienste des so angegriffenen

Systems stehen dabei nicht mehr zur Verfügung.

Christian Book

http://rfc791.de/whitepaper 4/7


Whitepaper Spoofing und Poisoning 29. April 2013

1.4. DNS Spoofing

Unter den Bezeichnungen DNS Spoofing und DNS Poisoning werden Angriffe zusammengefasst,

bei denen die Zuordnung zwischen einer IP-Adresse und einem Uniform

Resource Locator (URL) gefälscht wird. DNS-Spoofing wird auch die zur Sperrung von

Internet-Auftritten im Rahmen staatlicher Zensur eingesetzt.

Grundsätzlich kann DNS Spoofing auf verschiedene Weisen durchgeführt werden,

unter anderem können Sicherheitslücken in der Software des DNS-Servers ausgenutzt

werden.

Weiterhin kann die lokale Host-Datei eines Computers, die zur Namensauflösung herangezogen

wird, manipuliert werden. Dazu muss der Angreifer lediglich in einen Eintrag

in dieser Datei hinterlegen oder bestehende Einträge verarbeiten. Dies ist in der

Regel mit einfachen Trojanern und Rootkits problemlos möglich. So kann der Anwender

auf gefälschte Online-Dienste geleitet werden, obwohl dieser den korrekten Domain-Namen

aufruft. Meist werden im gleichen Schritt die Einträge manipuliert, die

für die regelmäßige Aktualisierung der Anti-Schadsoftware notwendig sind. Somit

kann Aktualisieren der Software unterbunden werden.

Beim Cache Poisoning werden gefälschte Daten in den Cache eines DNS-Servers

eingeschleust. Greift ein Computer beispielsweise mit einem Browser auf die so hinterlegten

gefälschten DNS-Daten zu, wird er unwissentlich auf eine fremde Website

gelenkt. DNSSEC gilt es wirksamste Gegenmaßnahme gegen Cache Poisoning.

Reverse Domain Hijacking bezeichnet beschreibt Möglichkeiten, den Domain-

Namen eines fremden Internetauftritts auf nicht-technischem Wege zu erlangen.

Dabei beschuldigt der Angreifer den Besitzer des „Domaingrabbings“ und behauptet,

er habe aufgrund markenrechtlicher Vorschriften selbst Anspruch auf den betroffenen

Domain-Name.

1.5. Pharming

Pharming basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern, um

den Anwender auf eine gefälschte Webseite umzuleiten. Häufig werden dazu unter

anderem Techniken des DNS-Spoofings verwendet. Pharming ist als Weiterentwicklung

des klassischen Phishings betrachten.

Eine Methode des Pharming ist die lokale Manipulation der Host-Datei. Dabei werden

durch Trojaner oder eines Viren gezielte Manipulationen vorgenommen, sodass gefälschte

Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde.

Andere Ansätze basieren auf der Kompromittierung von DNS-Diensten. Die nachfolgende

Grafik illustriert den typischen Ablauf einer solchen Pharming-Attacke.

Christian Book

http://rfc791.de/whitepaper 5/7


Whitepaper Spoofing und Poisoning 29. April 2013

Abbildung 3: Ablauf einer Pharming-Attacke

Ein Pharming-Angriff besteht aus fünf Schritten, die im Ergebnis den Browser des Anwenders

auf eine gefälschte Website lenkt, obwohl die eingegebene URL korrekt ist:

1. Zunächst attackiert der Angreifer den DNS-Dienst, der vom Anwender verwendet

wird. Dies kann ein lokaler DNS-Server oder auch ein DNS-Server des

Internet Service Providers sein. Durch den Einsatz verschiedener Techniken ersetzt

der Angreifer auf dem DNS-Server die zum DNS-Eintrag website.de gehörende

IP-Adresse 213.179.41.98 durch die IP-Adresse 74.163.212.40. Hinter dieser

IP-Adresse befindet sich eine täuschend echt aussehende Kopie der angegriffenen

Website.

2. Der Anwender möchte den Internet-Auftritt besuchen und gibt dazu die URL

website.de in die Adresszeile seines Browsers ein.

3. Der Computer des Anwenders fragt beim DNS-Server die IP-Adresse zur URL

website.de a

4. Da der DNS-Server bereits über den manipulierten DNS-Eintrag verfügt, gibt

dieser die IP-Adresse der gefälschten Website zurück.

5. Der Anwender wird im Browser nun auf die gefälschte Website geleitet.

Christian Book

http://rfc791.de/whitepaper 6/7


Whitepaper Spoofing und Poisoning 29. April 2013

2. Über den Autor

CHRISTIAN BOOK studierte Wirtschaftsinformatik in Oldenburg und beschäftigt sich seit

einigen Jahren als Consultant im Bereich Informationssicherheit vorwiegend mit der

IT-Sicherheit in "Kritischen Infrastrukturen" wie Netzleitsystemen, Smart Grids und im

Umfeld von Smart Metering. Zudem führt er Penetrationstests gegen IT-Systeme und

insbesondere Web-Applikation durch und berät branchenübergreifend bei der sicheren

Konzeption und Implementierung von komplexen IT-Infrastrukturen. Im Rahmen

von Incident Response unterstützt er bei der Aufdeckung, Bewältigung und

Analyse von akuten Informationssicherheitsvorfällen, beispielsweise bei großflächiger

Beeinträchtigung durch Schadsoftware oder Denial-of-Service-Angriffen.

Für den TÜV InterCert Saar und den TÜV Hessen überprüft und zertifiziert Christian

Book als Auditor und Fachexperte unter anderem Web-Applikation.

Als aktives Mitglied des International Council of Electronic Commerce Consultants

(EC Council) verfügt Christian Book derzeit über Zertifizierungen als Certified Ethical

Hacker (CEH), Licensed Penetration Tester (LPT) und EC Council Certified Security

Analyst (ECSA). Daneben hält er Zertifizierungen als WatchGuard Certified System

Professional (WCSP XTM) sowie als Cisco Certified Network Associate (CCNA). Seit

2012 ist er darüber hinaus als Certified Information Systems Security Professional

(CISSP) aktives Mitglied von (isc)².

Weiterführende Informationen zum Autor dieses Whitepapers finden Sie unter

HTTP://CHRISTIAN-BOOK.DE

Weitere interessante Whitepaper zu den

Themen IT-Sicherheit und Netzwerken finden Sie unter

HTTP://RFC791.DE/WHITEPAPER

Christian Book

http://rfc791.de/whitepaper 7/7

Weitere Magazine dieses Users
Ähnliche Magazine