Module 05: Network Poisoning

Man-in-the-Middle

Difficulty: Medium Focus: Layer 2 & 3

Wie funktioniert der Betrug?

In einem lokalen Netzwerk wissen Geräte nicht automatisch, wer wer ist. Sie fragen per **ARP (Address Resolution Protocol)**: "Wer hat die IP 192.168.1.1?".

Beim **ARP-Spoofing** antwortest DU dem Opfer: "Ich bin der Router!" und gleichzeitig dem Router: "Ich bin das Opfer!". Beide schicken ihre Pakete nun an dich. Du bist der "Mann in der Mitte".

LIVE SIMULATOR
🌐

Gateway

192.168.1.1

🥷

Du (MITM)

💻

Target PC

192.168.1.45

Captured Traffic (Cleartext)

// Interface eth0 listening...
Bereit für Datenempfang... starte die Attacke oben.

Data Extraction

Insecure Protocol Found

Warte auf Pakete...

Real-World Command Center

# Ettercap (Text-Mode)

Der Allrounder für ARP-Spoofing und Live-Manipulation.

ettercap -T -q -i eth0 -M arp /192.168.1.1// /192.168.1.45//
  • -T: Text-Interface nutzen
  • -M arp: Startet ARP-Poisoning Attacke
  • //: Wildcards für alle Ziele im Subnetz

# Bettercap

Das modernste Tool für MITM, DNS-Spoofing und SSL-Stripping.

bettercap -iface eth0
> set arp.spoof.targets 192.168.1.45
> arp.spoof on
  • arp.spoof on: Aktiviert den Angriff sofort
  • net.sniff on: Startet den Paket-Abfang-Monitor

MITM FAQ

Was passiert technisch genau beim ARP Poisoning?

Der Angreifer sendet unaufgeforderte ARP-Antworten an den Client und den Router. Diese Antworten überschreiben die echten MAC-Adressen in deren Cache. Der Switch schickt Pakete nun an den Port des Angreifers, da er denkt, dort befände sich das legitime Ziel.

Warum sehe ich bei HTTPS-Seiten nichts?

HTTPS verschlüsselt die Daten zwischen Endgerät und Server. Selbst wenn du die Pakete abfängst, siehst du nur Zeichensalat. Um hier einzubrechen, müssten Tools wie SSLStrip die Verbindung auf HTTP herunterstufen (Downgrade) oder ein gefälschtes Zertifikat untergeschoben werden.

Wie kann ein Administrator MITM verhindern?

Die effektivste Methode auf Layer 2 ist Dynamic ARP Inspection (DAI) auf dem Switch. Er prüft, ob die ARP-Antworten zu den bekannten IP-MAC-Paaren passen. Alternativ hilft Port Security und die Nutzung von VPNs innerhalb des LANs.