Um diesen Angriff zu verstehen, musst du dich mit IP-Adressen und MAC-Adressen auskennen. Du musst dich intensiver damit beschäftigen, wie ein Rechner die richtige MAC-Adresse zu einer IP-Adresse herausfindet. Dazu solltest du dir intensiv die Kommunikationsprotokolle in Filius anschauen.
Das Protokoll ARP dient der Übersetzung von IP- in MAC-Adressen: Ein Rechner, der einen anderen kontaktieren will, braucht dafür dessen MAC-Adresse. Beim ersten Kommunikationsversuch verschickt er dafür einen Broadcast (d.h. eine Nachricht an alle Rechner des Netzwerkes) mit einer ARP-Anfrage („wer hat die IP 1.2.3.4?“). Nur der angesprochene Rechner antwortet, und zwar mit seiner MAC-Adresse („1.2.3.4 hat AB:CD:EF:...“).
Diese Antwort speichert der Rechner dann in seiner ARP-Tabelle. Mit dem Befehl "arp -a" kann man in der Windows-Befehlszeile diese ARP-Tabelle einsehen. In Filius heißt der Befehl nur "arp".
Aber was passiert, wenn nicht (nur) der richtige Rechner antwortet... ?
Baue einen zusätzlichen Rechner als „fakebook.com“ ein.
Baue weitere Switche und einen Angriffsrechner ein, der vom angegriffenen Laptop „mehr Switches weg“ ist als der legitime DNS-Server. Gib dem Angriffsrechner die gleiche IP-Adresse wie dem echten DNS-Server.
Aktionsmodus:
Installiere auf dem fakebook-Rechner einen Webserver.
Installiere auf dem Angriffsrechner einen DNS-Server, der aber „facebook.com“ auf die IP des fakebook-Servers leitet.
Teste den Angriff, indem du auf Judiths Rechner zweimal „facebook.com“ aufrufst.
Erkläre die Funktionsweise des Angriffs in einem kurzen Text. Wie kann man diesen Angriff bemerken? Wie kann man ihn verhindern?
Expertenaufgaben
Lass dir mit Rechtsklick auf den angegriffenen Laptop den Datenaustausch anzeigen. Welche Datenpakete zeigen den eigentlichen Angriff?
Zeichne ein Sequenzdiagramm des Angriffs mit den drei beteiligten Computern.
Vergleiche für die Fehlersuche in Filius: Fehlersuche in Filius - Stimmt die Netzwerkkonfiguration / Ist jeder Rechner erreichbar?Kommandos in der Befehlszeile