Aus ARP-Protokoll MAC-Adresse erhalten?
Ich habe mich gerade ein wenig über Netzwerke informiert und bin auf ARP gestoßen. Dieses Protokoll soll anhand der IP-Adresse die MAC-Adresse des Empfängers herausbekommen. Dabei wird ein Request an den Empfänger gesendet, der dann die MAC-Adresse liefert.
Meine Frage ist hierbei, ob man dann die MAC-Adresse des Empfängers herauslesen kann, um beispielsweise in Whitelist Netzwerke zu gelangen?
4 Antworten
Naja, zunächst ist ARP ja nur ein Informationsprotokoll. Im ersten Schritt wird der ARP-Request auch nicht an dem Empfänger gesendet - denn der ist ja noch unbekannt. Vielmehr wird ein Broadcast gestartet und der jenige, der die IP Adresse hat meldet sich dann beim Versender zurück und schickt seine MAC Adresse mit dazu.
Hier kann es gleich mehrere Angriffsvektoren geben:
- Wer sagt mir, dass sich nur derjenige meldet, der tatsächlich die gewünschte IP Adresse hat?
- Wenn sich mehrere melden, ist das dann korrekt? Eventuell ja in Lastverteilungs-Szenarien
- Wenn sich jemand mit seiner MAC Adresse meldet, ist das dann wirklich seine Adresse (Stichwort ARP-Spoofing)
ARP kann daher tatsächlich als sehr leicht kompromittierbar gelten.
Es gibt aber tatsächlich auch ARP Requests an die Einzelnen Empfänger (Unicast). Nämlich dann, wenn die MAC Adresse bereits bekannt ist und man seine Information einfach aktualisieren möchte. Um herauszufinden, ob der Empfänger noch da ist zB. Oder ob mittlerweile ein anderes Gerät mit einer anderen MAC die IP Adresse verwendet. Sowas wird dann als Unicast gemacht um den Broadcast so sauber wie möglich zu halten.
Unabhängig vom ARP selbst kann natürlich jede Netzwerkkarte völlig ungeprüft Ethernet Frames mit einer beliebigen MAC Adresse versenden. Dein Szemario, dass ich mir via ARP also eine MAC Adresse besorge und diese als Quell-Adresse zu verwenden ist also tatsächlich möglich.
Das bringt zwar Switche n bissl durcheinander was ihre MAC Tabellen angeht aber prinzipiell ist das möglich.
Vielen Dank für deine Antwort! Die hat mir echt weitergeholfen :)
ARP kommuniziert im Klartext. Natürlich kann man aus dem ARP Reply die MAC-Adresse von Absender und Empfänger auslesen. Der Begriff "Whitelist Netzwerke" ist nicht wirklich gebräuchlich. Meinst Du Netzwerke, die Rechner anhand der MAC-Adresse zulassen? Nun denn, Du musst ja erst mal den ARP Reply abfangen, um ihn auslesen zu können. Im LAN musst Du also im gleichen Netzwerk sein. Wenn Du aber bereits im gleichen Netzwerk bist, hast Du ja schon alles erreicht.
Wenn Du vom WLAN sprichst, kannst Du die ARP Frames nur auslesen, wenn das WLAN nicht verschlüsselt ist. Im WLAN ist es jedoch einfacher, die WLAN-Frames als Ganzes mitzulesen. Die MAC-Adressen werden nicht verschlüsselt und Du kannst sehen, welche MAC-Adressen im WLAN kommunizieren - sprich angemeldet sind.
ARP-Requests werden in der Regel als BC versendet, die Antwort dann als UC. Das Problem ist, Du kommst an diese UCs nicht einfach heran. Also bliebe nur die BCs mitzuschneiden und zu erhoffen, daß die Absendeadressen in der Whitelist stehen.
Deswegen wird normaleriweise auch nicht nur mit einer reinen MAC-Whitelist gearbeitet, sondern das Whitelisting an zusätzliche Daten gebunden.
Nur, wenn sich die Ziel-IP in dem gleichen Netzwerk befindet.
Im Internet ist die MAC weitgehend uninteressant. Sie wird für Verbindungen nicht verwendet, außer beim Verbindungaufbau zur Identifikation beim Anbieter.
1) ARP kann sowohl als Unicast als auch als Broadcast arbeiten je nach Situation (siehe meine Antwort)
2) Nein. Die Auflösung der MAC Adresse ist an der Stelle noch völlig uninteressant. Zuerst muss das IP Paket so weit geroutet werden bis sich ein Router dafür zuständig fühlt die finale Zustellung vorzunehmen. Dieser Router kann dann das Paket direkt an den Empfänger via Ethernet zustellen, da sich Router und Empfänger im selben Segment befinden.
Im Paketverteilzentrum der DHL ist ja deine Hausnummer auch noch völlig egal
MAC Adressen sind nur Netzwerk intern bekannt. Im WAN sind daher MAC Adressen nicht abrufbar im Generellen. Dein Homerouter hat eine eigene MAC Adresse, welche nur nach Aussen bekannt ist. Die internen Clients ihre MAc Adresse geht daher nie raus.
Ich habe gerade noch ein bisschen mehr darüber gefunden und es hieß, dass der ARP-Request nur in LANs ausgesendet und bei Punkt zu Punkt Verbindungen gemacht wird.
Also wenn ich mich im Internet mit einem Server verbinde wird nicht zuerst die MAC-Adresse von diesem identifiziert ?