MAC-Flooding & ARP Spoofing
Aus HackerWiki
Contents |
MAC-Flooding & ARP Spoofing
In einem Netzwerk, in dem ein Switch verwendet wird ist es nicht mehr so einfach möglich den Netzwerkverkehr mitzulesen.
Um dennoch den Traffic mitzulesen wurden Methoden entwickelt. In diesem Artikel möchte ich kurz erklären, wie man unter Linux so einen Angriff durchführt. Für Windows gibt es auch Programme, die ähnlich funktionieren.
Die Programme
Linux
Unter Linux benötigen Sie dsniff. Dieses können Sie unter Debian/Ubuntu mit apt-get installieren:
(sudo) apt-get install dsniff
Für andere Distributionen verwenden Sie am besten den Paketmanager.
Windows
- Etherflood - Tool um MAC-Flooding durchzuführen
- ARPSpoof
MAC-Flooding
MAC-Flooding wird verwendet um den ARP Cache eines Switches mit sinnlosen MAC Adressen vollzuschreiben. Eine ARP-Tabelle kann nur eine begrenzte Anzahl an MAC Adressen verwalten. Wenn der Platz der Tabelle nicht mehr ausreichend ist, schaltet der Switch in den Failopen-Modus, in dem er sich wie ein Hub verhält und alle Daten an alle Teilnehmer sendet.
Im Paket dsniff befindet sich das Programm macof. Mit diesem Programm ist es möglich MAC-Flooding durchzuführen.
Mit folgendem Befehl kann man den Angriff starten:
macof -i INTERFACE -d DEST_IP >/dev/null
Ersetzen Sie INTERFACE durch ein Netzwerkadaper und DEST_IP durch die IP-Adresse des Ziels:
macof -i eth0 -d 192.168.0.1 >/dev/null
Die Ausgabe von macof wird auf /dev/null umgeleitet, da sie nur die generierten MAC-Adresse ausgiebt.
Wenn der Angriff erfolgreich war, können Sie mit Wireshark oder einem anderem Netzwerksniffer den Traffic mitlesen.
ARP Spoofing
ARP-Spoofing – Hierbei macht sich der Angreifer eine Schwäche im Design des ARP-Protokolls zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Paket via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber der IP, so wird das Opfer seine Pakete an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann. Hierbei handelt es sich nicht um einen Fehler des Switches. Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen. Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Pakete verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen managed Layer-3-Switch so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.
Quelle: Wikipedia
Im dsniff-Paket ist das Programm arpspoof enthalten. Mit diesem Programm kann man den Angriff durchführen.
Das Programm muss 2 mal gestartet werden. Das erste Programm greift das Opfer an und das 2 Programm den Server, auf den das Opfer zugreifen möchte.
Konsole 1:
arpspoof -t SERVERIP OPFERIP & >/dev/null
Konsole 2:
arpspoof -t OPFERIP SERVERIP & >/dev/null
arpspoof wird im Hintergrund gestartet und die Ausgabe auf /dev/null umgeleitet.
Um ARP Spoof zu beenden gibt man folgenden Befehl ein:
killall arpspoof
