Verfasser:mastamorphixx Email:mastamorphixx@web.de Dieser Text soll auf eventuelle Sicherheitslücken hinweisen.Ihr seid für das was ihr macht selber verantwortlich. Titel: ARP Spoofing Summary: ARP=Address Resulution Protocol;Protokoll zur Address Auflösung. Die Authentifizierung bei ARP ist Hardware-Adress basierend. Beim ARP-Spoofing hat es der Angreifer auf den (hoffentlich vorhandenen) Cache abgesehen der eine schnellere Verbindung von Host zu Host garantieren soll und die MAC Adresse und die dazugehörige IP-Adresse speichert(# more /proc/net/arp). Wenn dieser zusätzliche Cache zur verfügung steht, wird die Sitzung ohne das senden eines Broadcasts an die IP-Addresse des bekannten Hosts aufgebaut. Details: Der erste Schritt besteht darin,gefaellschte ARP Packete, die falsche Zuordnungen von MAC zu IP-Adressen enthalten,an das Opfer zu senden.Das Opfer traegt diese Falschen Informationen in seinen ARP Cache ein. Anschauen des ARP Caches im Lokalen Netzwerk: Linux:# more /proc/net/arp Unix:arp -n Manipulation des ARP-Caches:arp-s Beispiel: Es gibt viele Wege und mittel,den ARP zu manipulieren.Hier ist eine Version: #arp -a -n Address HWtype HWaddress Flags Mask Iface 131.130.13.1 ether 00:23:54:AD:4A:C4 C eth0 blabla.ac.at ether 00:E2:7A:96:D3:D4 C eth0 blablabla.ac.at ether 00:E2:7A:96:AD:B2 C eth0 Und so koennte es aussehen,wenn das Opfer die falschen informationen im Cache eingetragen hat: # arp -a -n Address HWtype HWaddress Flags Mask Iface 131.130.13.1 ether 00:E2:7A:96:D3:D4 C eth0 blabla.ac.at ether 00:E2:7A:96:D3:D4 C eth0 blablabla.ac.at ether 00:E2:7A:96:D3:D4 C eth0 Hinweise fuer Admins: -Fixieren der MAC Adresse von wichtigen Systemen. -Statische eintraege von Wichtigen MAC Adressen(zb. Router,Firewalls...) MAC Adressen(zb. Router,Firewalls...)