Skip to main content

IP-Spoofing

Was ist IP-Spoofing?

Übersetzt in die deutsche Sprache bedeutet das englische Wort “Spoofing” so viel wie Verschleierung oder Manipulation. Eine besondere Form des Spoofings stellt das sogenannte IP-Spoofing dar, welches durch die Ausnutzung einer systembedingten Schwäche in der IP-Protokollfamilie ermöglicht wird. Im Kontext des IP-Spoofings macht sich der Angreifer diese Schwäche zunutze, indem er IP-Pakete mit gefälschter Absender-IP versendet. Auf diese Weise täuscht er dem Empfänger vor, dass die IP-Pakete von einem vertrauenswürdigen Rechner stammen. Kriminelle nutzen IP-Spoofing-Angriffe aus, um beispielsweise ganze Computernetzwerke lahmzulegen oder eine IP-Basierte Authentifizierung in Netzwerken zu umgehen.

Wie funktioniert IP-Spoofing?

Ein jedes IP-Paket ist mit Kopfdaten versehen, welche die genaue Quell- und Ziel-IP-Adresse enthalten. Die Quelladresse stellt dabei die IP-Adresse dar, von der das Paket gesendet wird. Protokolle, die diese Kopfdaten verschlüsseln und vor Manipulationsversuchen schützen könnten, gibt es nicht. Hinzu kommt noch die Tatsache, dass die Korrektheit der IP-Adressen nicht explizit überprüft wird. Aufgrund des spezifischen Aufbaus des IP-Protokolls vertrauen Empfänger in einem IP-Netzwerk automatisch darauf, dass die Datenpakete wirklich von der angegebenen IP-Adresse stammen. IP-Spoofing kann insbesondere dann eingesetzt werden, wenn eine bidirektionale Verbindung zwischen zwei Hosts nicht notwendig ist. Diese einfachere Form des IP-Spoofings wird in erster Linie eingesetzt, um Traffic zu generieren und gezielt bestimmte Computer in einem Netzwerk mit Anfragen zu überrumpeln.

Gezielte Spoofing-Angriffe, um beispielsweise in ein System einzudringen oder den Datenverkehr zwischen zwei Computern zu manipulieren, werden durch die sogenannte “Sequenznummer” ermöglicht, mit der ein jedes IP-Datenpaket eindeutig gekennzeichnet wird. Ein Cyber-Krimineller, der in den Kommunikationsweg zwischen zwei Hosts eindringen kann, kann auf diese Weise die nächsten Sequenznummern mit hoher Wahrscheinlichkeit voraussagen und auf diese Weise in die laufende Kommunikation eindringen. Dieses Verfahren wird auch als Session Hijacking bezeichnet. Das Spoofing einer Rechnerkommunikation bei TCP-Verbindungen kann auf diese Weise jedoch nicht realisiert werden, weil die Antwort-Datenpakete immer zu dem echten Host geroutet werden.

Spoofing-Angriffe sind am effektivsten, wenn zwischen den beiden Hosts in einem IP-Netzwerk eine gewisse Vertrauensbeziehung besteht. In vielen unternehmensinternen Netzen ist es durchaus der Fall, dass sich interne Systeme gegenseitig vertrauen. Dies bietet den Vorteil, dass sich Nutzer ohne Benutzerdaten einloggen können und auf andere Netzwerkressourcen zugreifen können, wenn sie bereits von einem anderen internen Computer im Netzwerk angemeldet sind. Indem eine Verbindung von einem internen vertrauenswürdigen Computer gefälscht wird, können Eindringlinge Zugriff auf den Zielrechner erlangen, ohne sich mit Benutzername und Passwort authentifizieren zu müssen.

Gegenmaßnahmen

Sicherheitsexperten und IT-Spezialisten beschäftigen sich kontinuierlich damit, um effektive Gegenmaßnahmen gegen IP-Spoofing und ähnliche Cyber-Angriffe zu entwickeln. Als eine besonders effektive Maßnahme gegen IP-Spoofing haben sich sogenannte “Paketfilter” erwiesen. Dabei handelt es sich um Sicherheitslösungen, die den ein- und ausgehenden Datenverkehr kontinuierlich überwachen und bei Bedarf filtern. Das Gateway zu einem internen Netzwerk sollte mit einer eingehenden Filterung versehen sein. Damit werden von außen kommende Datenpakete, die eine IP-Quelladresse von Computern des jeweiligen internen Netzwerks aufweisen, automatisch gefiltert und geblockt. Mit dieser Technik wird effektiv verhindert, dass Cyber-Kriminelle die IP-Adresse eines internen Computers spoofen und damit Zugang zu internen Netzwerkressourcen erlangen können.

Um einen umfassenden Schutz gegen IP-Spoofing gewährleisten zu können, sollten im Idealfall auch ausgehende Datenpakete gefiltert werden. Pakete mit einer Quelladresse außerhalb des Netzwerks werden dabei verworfen, sodass IP-Adressen von externen Hosts überhaupt nicht gefälscht werden können. Wenn alle ISPs (Internetdienstanbieter) alle ausgehenden Datenpakete filtern würden, deren Quelladresse nicht aus ihren Netzwerken stammen, dann würde das massenhafte IP-Spoofing ein wesentlich geringeres Problem darstellen, als es heute weltweit der Fall ist.

Protokolle auf höhere Schichten des OSI-Modells stellen bereits einige Mechanismen gegen Spoofing-Angriffe bereit. Das TCP-Protokoll setzt beispielsweise eine Sequenznummerierung ein, um sicherzustellen, dass eingehende Datenpakete auch wirklich zu der aufgebauten Verbindung gehören. Die schlechte Implementierung der Sequenznummerierung in vielen Geräten führt jedoch dazu, dass es Cyberkriminellen möglich ist, eine Session Hijacking- bzw. eine Man-in-the-Middle-Attacke durchzuführen.

Wozu wird IP-Spoofing eingesetzt

IP-Spoofing lässt sich nur in den seltensten Fällen für den Einbruch in interne Netzwerke und Systeme verwenden. Vielmehr wird IP-Spoofing heutzutage im Rahmen sogenannter “DDoS-Angriffe” (Distributed Denial of Service) eingesetzt. DDoS-Attacken sind besonders tückisch, da sie die IT-Infrastruktur des betroffenen Unternehmens über einen längeren Zeitraum völlig paralysieren können. Bei diesen DDoS-Angriffen erhält der Angreifer keinerlei Zugriff auf den Datenverkehr.

Durch den Einsatz von IP-Spoofing wird die Quelladresse im Adresseintrag im entsprechenden Datenpaket verändert, während die IP-Adresse unverändert bliebt. Dadurch werden die Antworten auf die ausgesandten Anfragen nicht zum Computer des Angreifers weitergeleitet, sondern zum Host, dessen IP-Adresse im Adresseintrag gefälscht wurde. Dass sich hinter diesen manipulierten IP-Paketen ein nicht autorisierter Teilnehmer befindet, wird von dem System bzw. IP-Protokoll nicht erkannt, was sich Angreifer für die bereits erwähnten DDoS-Attacken zunutze machen.

Diese Cyber-Angriffe werden oft in unterschiedlichen Industriezweigen eingesetzt, um auf die betroffenen Unternehmen Druck auszuüben und um eventuell auf diese Weise Schutzgelder zu erpressen. Die Identität des Angreifers lässt sich in vielen Fällen nur äußerst schwer ermitteln, da die Quelle der Datenpakete der ungesicherte Rechner ist. Bei Spoofing-Angriffen sind folgende zwei Anwendungsfälle möglich:

  • Der Angreifer verschickt auf Basis der gefälschten Quelladresse eine größere Menge an Datenpaketen an verschiedene Computer innerhalb des jeweiligen Netzwerks. Diese beantworten die Anfrage mit Datenpaketen, die sie an den unbeteiligten Computer senden, dessen IP-Adresse gefälscht wurde.
  • Der betroffene Zielrechner erhält parallel eine große Menge an Datenpaketen von diversen manipulierten IP-Adressen und wird dadurch mit Anfragen überlastet.

Die Hosts, deren IP-Adresse der Cyber-Kriminelle gefälscht hat, können entweder das Ziel einer IP-Spoofing-Attacke sein, oder als Werkzeug eingesetzt werden, um einen solchen DDoS-Angriff durchzuführen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG