IP-Spoofing

IP-Spoofing

Copyright © Shutterstock / Profit_Image

Was ist IP-Spoofing?

√úbersetzt in die deutsche Sprache bedeutet das englische Wort “Spoofing” so viel wie Verschleierung oder Manipulation. Eine besondere Form des Spoofings stellt das sogenannte IP-Spoofing dar, welches durch die Ausnutzung einer systembedingten Schw√§che in der IP-Protokollfamilie erm√∂glicht wird. Im Kontext des IP-Spoofings macht sich der Angreifer bzw. Hacker diese Schw√§che zunutze, indem er IP-Pakete mit gef√§lschter Absender-IP versendet. Auf diese Weise t√§uscht er dem Empf√§nger vor, dass die IP-Pakete von einem vertrauensw√ľrdigen Rechner stammen. Kriminelle nutzen IP-Spoofing-Angriffe aus, um beispielsweise ganze Computernetzwerke lahmzulegen oder eine IP-Basierte Authentifizierung in Netzwerken zu umgehen.

Wie funktioniert IP-Spoofing?

Ein jedes IP-Paket ist mit Kopfdaten versehen, welche die genaue Quell- und Ziel-IP-Adresse enthalten. Die Quelladresse stellt dabei die IP-Adresse dar, von der das Paket gesendet wird. Protokolle, die diese Kopfdaten verschl√ľsseln und vor Manipulationsversuchen sch√ľtzen k√∂nnten, gibt es nicht. Hinzu kommt noch die Tatsache, dass die Korrektheit der IP-Adressen nicht explizit √ľberpr√ľft wird. Aufgrund des spezifischen Aufbaus des IP-Protokolls vertrauen Empf√§nger in einem IP-Netzwerk automatisch darauf, dass die Datenpakete wirklich von der angegebenen IP-Adresse stammen. IP-Spoofing kann insbesondere dann eingesetzt werden, wenn eine bidirektionale Verbindung zwischen zwei Hosts nicht notwendig ist. Diese einfachere Form des IP-Spoofings wird in erster Linie eingesetzt, um Traffic zu generieren und gezielt bestimmte Computer in einem Netzwerk mit Anfragen zu √ľberrumpeln.

Gezielte Spoofing-Angriffe, um beispielsweise in ein System einzudringen oder den Datenverkehr zwischen zwei Computern zu manipulieren, werden durch die sogenannte “Sequenznummer” erm√∂glicht, mit der ein jedes IP-Datenpaket eindeutig gekennzeichnet wird. Ein Cyber-Krimineller, der in den Kommunikationsweg zwischen zwei Hosts eindringen kann, kann auf diese Weise die n√§chsten Sequenznummern mit hoher Wahrscheinlichkeit voraussagen und auf diese Weise in die laufende Kommunikation eindringen. Dieses Verfahren wird auch als Session Hijacking bezeichnet. Das Spoofing einer Rechnerkommunikation bei TCP-Verbindungen kann auf diese Weise jedoch nicht realisiert werden, weil die Antwort-Datenpakete immer zu dem echten Host geroutet werden.

Spoofing-Angriffe sind am effektivsten, wenn zwischen den beiden Hosts in einem IP-Netzwerk eine gewisse Vertrauensbeziehung besteht. In vielen unternehmensinternen Netzen ist es durchaus der Fall, dass sich interne Systeme gegenseitig vertrauen. Dies bietet den Vorteil, dass sich Nutzer ohne Benutzerdaten einloggen k√∂nnen und auf andere Netzwerkressourcen zugreifen k√∂nnen, wenn sie bereits von einem anderen internen Computer im Netzwerk angemeldet sind. Indem eine Verbindung von einem internen vertrauensw√ľrdigen Computer gef√§lscht wird, k√∂nnen Eindringlinge Zugriff auf den Zielrechner erlangen, ohne sich mit Benutzername und Passwort authentifizieren zu m√ľssen.

Gegenmaßnahmen

Cyber-Sicherheit spielt eine immer gr√∂√üere Rolle. Sicherheitsexperten und IT-Spezialisten besch√§ftigen sich kontinuierlich damit, um sich¬†effektiv gegen IP-Spoofing sowie √§hnliche Cyber-Angriffe¬†zu sch√ľtzen und mehr Sicherheit im Internet zu schaffen.

Hinweis

Wenn Sie noch mehr √ľber Cyber-Sicherheit erfahren m√∂chten oder weitere Informationen dazu brauchen k√∂nnen Sie gerne unseren Glossar der OSG zu diesem Thema besuchen.

Zum Artikel

 

Als eine besonders effektive Ma√ünahme gegen IP-Spoofing haben sich sogenannte “Paketfilter” erwiesen. Dabei handelt es sich um Sicherheitsl√∂sungen, die den ein- und ausgehenden Datenverkehr kontinuierlich √ľberwachen und bei Bedarf filtern. Das Gateway zu einem internen Netzwerk sollte mit einer eingehenden Filterung versehen sein. Damit werden von au√üen kommende Datenpakete, die eine IP-Quelladresse von Computern des jeweiligen internen Netzwerks aufweisen, automatisch gefiltert und geblockt. Mit dieser Technik wird effektiv verhindert, dass Cyber-Kriminelle die IP-Adresse eines internen Computers spoofen und damit Zugang zu internen Netzwerkressourcen erlangen k√∂nnen.

Zum Artikel √ľber Cyber-Kriminelle

 

Um einen umfassenden Schutz gegen solch einen Angriff gew√§hrleisten zu k√∂nnen, sollten im Idealfall auch ausgehende Datenpakete gefiltert werden. Pakete mit einer Quelladresse au√üerhalb des Netzwerks werden dabei verworfen, sodass IP-Adressen von externen Hosts √ľberhaupt nicht gef√§lscht werden k√∂nnen. Wenn alle ISPs (Internetdienstanbieter) alle ausgehenden Datenpakete filtern w√ľrden, deren Quelladresse nicht aus ihren Netzwerken stammen, dann w√ľrde das massenhafte IP-Spoofing ein wesentlich geringeres Problem darstellen, als es heute weltweit der Fall ist.

Protokolle auf h√∂here Schichten des OSI-Modells stellen bereits einige Mechanismen gegen Spoofing-Angriffe bereit. Das TCP-Protokoll setzt beispielsweise eine Sequenznummerierung ein, um sicherzustellen, dass eingehende Datenpakete auch wirklich zu der aufgebauten Verbindung geh√∂ren. Die schlechte Implementierung der Sequenznummerierung in vielen Ger√§ten f√ľhrt jedoch dazu, dass es Cyberkriminellen m√∂glich ist, eine Session Hijacking- bzw. eine Man-in-the-Middle-Attacke durchzuf√ľhren.

Wozu wird IP-Spoofing eingesetzt

IP-Spoofing l√§sst sich nur in den seltensten F√§llen f√ľr den Einbruch in interne Netzwerke und Systeme verwenden. Vielmehr wird IP-Spoofing heutzutage im Rahmen sogenannter “DDoS-Angriffe” (Distributed Denial of Service) eingesetzt. DDoS-Attacken sind besonders t√ľckisch, da sie die IT-Infrastruktur des betroffenen Unternehmens √ľber einen l√§ngeren Zeitraum v√∂llig paralysieren k√∂nnen. Bei diesen DDoS-Angriffen erh√§lt der Angreifer keinerlei Zugriff auf den Datenverkehr.

Durch den Einsatz von IP-Spoofing wird die Quelladresse im Adresseintrag im entsprechenden Datenpaket ver√§ndert, w√§hrend die IP-Adresse unver√§ndert bliebt. Dadurch werden die Antworten auf die ausgesandten Anfragen nicht zum Computer des Angreifers weitergeleitet, sondern zum Host, dessen IP-Adresse im Adresseintrag gef√§lscht wurde. Dass sich hinter diesen manipulierten IP-Paketen ein nicht autorisierter Teilnehmer befindet, wird von dem System bzw. IP-Protokoll nicht erkannt, was sich Angreifer f√ľr die bereits erw√§hnten DDoS-Attacken zunutze machen.

Diese Cyber-Angriffe werden oft in unterschiedlichen Industriezweigen eingesetzt, um auf die betroffenen Unternehmen Druck auszu√ľben und um eventuell auf diese Weise Schutzgelder zu erpressen. Die Identit√§t des Angreifers l√§sst sich in vielen F√§llen nur √§u√üerst schwer ermitteln, da die Quelle der Datenpakete der ungesicherte Rechner ist. Bei Spoofing-Angriffen sind folgende zwei Anwendungsf√§lle m√∂glich:

  • Der Angreifer verschickt auf Basis der gef√§lschten Quelladresse eine gr√∂√üere Menge an Datenpaketen an verschiedene Computer innerhalb des jeweiligen Netzwerks. Diese beantworten die Anfrage mit Datenpaketen, die sie an den unbeteiligten Computer senden, dessen IP-Adresse gef√§lscht wurde.
  • Der betroffene Zielrechner erh√§lt parallel eine gro√üe Menge an Datenpaketen von diversen manipulierten IP-Adressen und wird dadurch mit Anfragen √ľberlastet.
Die Hosts, deren IP-Adresse der Cyber-Kriminelle gef√§lscht hat, k√∂nnen entweder das Ziel einer IP-Spoofing-Attacke sein, oder als Werkzeug eingesetzt werden, um einen solchen DDoS-Angriff durchzuf√ľhren.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte