ARP-Spoofing
ARP-Spoofing bezeichnet das Senden von gefälschten ARP-Paketen.ARP-Spoofing kann benutzt werden um den Datenverkehr zweier Hosts A und B abzuhören (Man-In-The-Middle-Attacke): der Angreifer sendet dabei zu zwei Hosts jeweils gespoofte ARP-Pakete mit der eigenen MAC-Adresse als Inhalt. Der Datenverkehr kann nun vom Angreifer gesnifft werden. Der Angreifer sitzt nun als Proxy zwischen den beiden Hosts, hört die Datenpakete ab, und leitet sie jeweils weiter.
Weiterhin ist es möglich Daten in eine bereits bestehende Verbindung einzuschleusen oder eine Verbindung komplett zu übernehmen. Auch ein DoS-Angriff, durch Flooden des Netzwerks mit falschen MAC-Adressen, ist möglich.
ARP-Spoofing ist schwer zu erkennen oder zu unterbinden. Eine Möglichkeit besteht darin statische ARP-Einträge zu erzeugen, die nicht verändert werden können. Dieser Ansatz ist jedoch nicht immer erfolgreich, da manche Betriebssysteme (u.A. Microsoft Windows) auch statische Einträge überschreiben wenn eine ARP-Antwort eintrifft. Ein anderer Ansatz ist die Überwachung des Mappings zwischen IP- und MAC-Adresse. So können Änderungen gefunden und ARP-Spoofing erkannt werden. Dieser Ansatz wird zum Beispiel on ArpWatch und XArp implementiert.