ARP-Spoofing (ARP Cache Poisoning)
ARP-Spoofing täuscht die IP↔MAC-Zuordnung im lokalen Netzwerk durch gefälschte ARP-Antworten. Der Traffic des Opfers läuft dann über den Angreifer statt direkt zum Gateway.
detaillierte erklärung
ARP-Spoofing nutzt die fehlende Authentifizierung im ARP-Protokoll aus. Der Angreifer sendet gefälschte ARP-Replies an Opfer und Gateway: "IP des Gateways hat MAC des Angreifers" und umgekehrt. Beide aktualisieren ihren ARP-Cache und schicken Traffic fortan an den Angreifer, der ihn weiterleitet (IP-Forwarding aktiviert) - ein klassischer MITM-Angriff. Die Poisoning-Pakete müssen kontinuierlich gesendet werden (alle 2-5s), da ARP-Caches nach 60-120s ablaufen. Voraussetzung: Zugang zum lokalen Netzwerk (WLAN/LAN). Gegenmaßnahmen: Static ARP Entries, Dynamic ARP Inspection auf Switches, Port Security, verschlüsselte Protokolle (HTTPS/TLS minimieren Schaden).
warum ist das wichtig?
ARP-Spoofing ist der Standard-Einstieg für MITM-Angriffe im Pentesting. Du musst verstehen, warum ARP unsicher ist, wie du IP-Forwarding aktivierst (sonst merkst du den Angriff sofort) und welche Switches Dynamic ARP Inspection haben.
häufige fehler
- ⚠Ein ARP-Reply reicht für den Angriff - Nein, Cache läuft ab (60-120s), kontinuierliches Poisoning nötig
- ⚠ARP-Spoofing funktioniert übers Internet - Nein, nur im lokalen Netzwerk (Layer 2)
- ⚠IP-Forwarding ist egal - Nein, ohne Forwarding bricht die Verbindung zusammen (Angriff auffällig)