Internetschicht:
Address Resolution Protocol ARP (RFC 826, November 1982)
CC BY-SA 4.0 T. Hempel · Version vom 09.05.2020
Vorbemerkungen
Das Address Resolution Protocol (ARP) vermittelt zwischen der MAC-Adresse der Netzzugangsschicht und der IPv4-Adresse der Internetschicht. Dazu speichert es in einer Tabelle auf dem Endgerät die mit einem Zeitstempel versehenen MAC-Adressen von Netzkarten und die zugehörigen IPv4-Adressen von Endgeräten, mit denen bereits kommuniziert wurde.
Analyse
1) Öffnen Sie in Netemul die Datei 02 ARP.net. Richten Sie das Programm wie folgt ein:
a) Für alle Endgeräte: Kontextmenü des Endgeräts → Show log b) Für alle Log-Protokolle: ARP statt all
Internetschicht:
Address Resolution Protocol ARP (RFC 826, November 1982)
CC BY-SA 4.0 T. Hempel · Version vom 09.05.2020
2) Geben Sie den Typ des Netzkoppelelements an.
3) Ermitteln Sie über des Kontextmenü der Endgeräte die Daten in den ARP-Tabellen.
a) PC1:
b) PC2:
c) Server1:
Address Resolution Protocol
4) Senden Sie ein 5 KByte großes UDP-Datenpaket von PC1 an die Netzkarte von Server1.
Beobachten Sie den Ablauf der Kommunikation einschließlich der „gelben“ Pakete.
5) Beschreiben Sie unter Verwendung des Protokollmitschnitts, die durch ARP
transportierten Informationen von ARP-Request und ARP-Reply. Stellen Sie dies als Sequenzdiagramm dar.
6) Ermitteln Sie die Veränderungen in den ARP-Tabellen der Endgeräte. Begründen Sie.
a) PC1:
b) PC2:
c) Server1:
P er er
Internetschicht:
Address Resolution Protocol ARP (RFC 826, November 1982)
CC BY-SA 4.0 T. Hempel · Version vom 09.05.2020
Zusatz: Missbrauch ARP-Spoofing
ARP-Spoofing wird benutzt, um die ARP-Tabellen in einem Netzwerk so zu verändern, dass der Datenverkehr zwischen zwei Endgeräten in einem Netz umgeleitet und damit abgehört oder manipuliert werden kann (Man-In-The-Middle-Angriff). Betriebssysteme bieten keinen Schutz vor ARP-Spoofing.
Simulation
PC2 ist der Angreifer. Er möchte sich als Mittelsmann in den Datenverkehr von PC1 zum Server1 einklinken. Der Angreifer muss dazu Informationen über die MAC- und IP-Adressen der beiden Endgeräte haben.
1) Prüfen Sie die korrekte Kommunikation durch Senden eines UDP-Paketes von PC1 zum Server1.
2) Um den ARP-Tabelleneintrag für den Server1 auf PC1 zu ändern, muss der Angreifer ein manipuliertes ARP-Paket an den PC1 senden. In diesem wird der Frame korrekt mit den MAC-Adressen von PC1 und PC2 gesetzt. Die ARP-Anfrage wird jedoch so geändert, dass statt der IP-Adresse des PC2 die IP-Adresse des Servers eingetragen wird. Die MAC-Adressen müssen entsprechend einer Anfrage korrekt formuliert werden.
Versenden Sie mithilfe des Befehls „ reate user’s packet“ ein solches Paket von PC2 an PC1. Hinweis: Die MAC-Angabe FF:FF:FF:FF:FF:FF im Datenframe ist das Zeichen für ein Broadcast-Paket.
Frame:
ARP:
3) Analysieren Sie die ARP-Tabelle auf PC1.
4) Senden Sie ein UDP-Paket von PC 1 auf den Server. Bewerten Sie die Beobachtung.