ARP Poisoning mit Kali Linux

Grundlagen

ARP – Address Resolution Protocol

ARP, Address Resolution Protocol, ist ein Netzwerkprotokoll, welches in lokalen Netzwerken zu einer IP-Adresse, z. B. 10.0.0.1, die MAC-Adresse, z. B. 76:1b:4c:37:81:41, ermittelt.

MITM – Man in the middle

Als Man in the middle Attacke bezeichnet man einen Angriff, bei dem sich der Angreifer in die Kommunikation einklinkt. Er befindet sich damit zwischen (sozusagen in der Mitte / in the middle) Angreifer und Ziel:

MITM-trans-text

 

Statt der direkten Verbindung Zwischen Opfer und Gateway wird der Verkehr nun über den Angreifer umgeleitet und kann dort mitgeschnitten oder verändert werden.

ARP Poisoning

Beim ARP Poisoning werden für ein bestimmtes Ziel gefälschte ARP-Pakete ins Netzwerk gesendet. Somit können einerseits Anfragen wie oben beschrieben umgeleitet und für eine MITM Attacke genutzt werden. Ein weiteres Szenario ist das Umleiten von Anfragen an eine bestimmte Maschine an ein Ziel, welches nicht existiert. Hiermit kann der Zugriff auf bestimmte Systeme unterbunden werden, beispielsweise auf das Internet (Gateway) oder auf bestimmte Application Server.

Kali Linux

Kali Linux ist eine auf Debian basierende Linux-Distribution, welche auf  Sicherheitstests ausgerichtet ist.

Praxistest mit Ettercap

Vorwort

Die hier beschriebene Vorgehensweise sollte ausschließlich in Testumgebungen durchgeführt werden. Mir ist wichtig darauf hinzuweisen, dass unbedingt geltende Bestimmungen und Gesetze eingehalten werden sollen. Weiter sei angemerkt, dass durch das Umleiten bestimmter Komponenten im Netzwerk schnell ein ganzes Netz lahmgelegt werden kann und was als Test begann,  plötzlich zu heftigen Produktionsausfällen führen kann.

Konfiguration

Wir passen /etc/ettercap/etter.conf an zwei Stellen an.

…und weiter unten entfernen wir die Kommentarzeichen vor redir_command:

Danach kann der eigentliche Eingriff in das Netzwerk beginnen.

Durchführung

In einer Rootshell wird ettercap gestartet:

Zunächst wird unter Options „Promisc mode“ angehakt.

Danach wird unter Sniff > Unified Sniffing… eine Netzwerkschnittstelle ausgewählt, welche an das zu untersuchende Netz angebunden ist, z. B. eth0 oder wlan0.

Als nächstes wird unter Hosts mit „Scan for hosts“  nach Geräten im Netzwerk gesucht. Ein Klick auf Hosts > Host list zeigt die gefundenen Geräte. Möchten wir nur in eine bestimmte Verbindung eingreifen, suchen wir zunächst in der Hostliste das Gateway und wählen es mit „Add to Target 1“ aus, das Opfer wählen wir mit „Add to Target 2“ aus.

Unter Mitm > Arp Poisoning… haken wir „Sniff remote connections“ an.

Ettercap zeigt nun beispielsweise Benutzername und Passwort an, wenn von dem Gerät des Opfers eine Anmeldung an WordPress erfolgt. Startet man driftnet können die Bilder der aufgerufenen Websites angezeigt werden. Mittels urlsnarf werden die aufgerufenen Websites ausgegeben.

Beendet wird mit Start > Stop sniffing.

Schlusswort

Hiermit ist eindrucksvoll demonstriert, wie leicht es ist, in einem Netzwerk Informationen zu erlangen, die nicht für Dritte gedacht sind. Wer in unbekannten Netzen unterwegs ist, beispielsweise im Hotel, an der Universität, in der WG oder einfach mal schnell mit dem Smartphone im WLAN bei Freunden, sollte sich immer auch Gedanken um die Sicherheit machen.

Have fun!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.