IP-Spoofing

Was ist IP-Spoofing?

In Computer-Netzwerken ist IP-Spoofing oder IP-Address-Spoofing die Erstellung von IP-Datenpaketen mit einer falschen Quell-IP-Adresse, um die Identität des Absenders der Pakete zu verbergen oder sich als ein anderes Computersystem auszugeben.

Hintergrund

Das Internetprotokoll (IP) ist das grundlegende Protokoll zum Senden von Daten über das Internet und in anderen Computernetzwerken. Das Protokoll spezifiziert, dass jedes IP-Paket einen Header haben muss, der unter anderem die IP-Adresse des Senders des Pakets enthält. Die Quell-IP-Adresse ist normalerweise die Adresse, von der das Paket gesendet wurde. Aber die Adresse des Absenders in der Kopfzeile kann geändert werden, sodass dem Empfänger angezeigt wird, dass das Paket aus einer anderen Quelle stammt. Das Protokoll erfordert, dass der empfangende Computer eine Antwort an die Quelladresse zurücksendet. Dieser Umstand wird von Angreifern auf ein Netzwerk ausgenutzt.

Anwendung des IP-Spoofing

IP-Spoofing ist das Verfälschen des Inhalts im Quell-IP-Header von Netzwerkdatenpaketen. Die Fälschung erfolgt normalerweise mit zufälligen Zahlen, um entweder die Identität des Absenders zu maskieren oder einen reflektierten DDoS-Angriff zu starten. Das Fälschen der IP-Quell-Adresse ist eine Standardfunktion in den meisten DDoS-Malware-Kits und Teil von Angriffsskripten. Es gehört damit zu den am meisten genutzten Techniken für DDoS-Angriffe auf Netzwerkebene.

IP-Spoofing in DDoS-Angriffen

IP-Adressen-Spoofing wird aus zwei Gründen bei DDoS-Angriffen verwendet: um die Standorte von Botnet Computern zu verschleiern und einen reflektierten Angriff zu inszenieren.

1. Maskieren von Botnet Computern

Ein Botnet ist eine Ansammlung von mit Malware infizierten Computern, die ohne Wissen ihrer Besitzer von Tätern ferngesteuert werden. Sie können angewiesen werden, gemeinsam auf eine bestimmte Domäne oder einen bestimmten Server zuzugreifen und den Tätern die Rechen- und Netzwerkressourcen zur Verfügung zu stellen. Ein Botnet kann riesige Datenströme erzeugen, die es den Botnetz-Betreibern ermöglichen, die Ressourcenkapazität ihres Ziels auszureizen, was zu Serverausfällen und Netzüberlastungen führt. Botnets umfassen typischerweise entweder zufällige, geografisch verteilte Geräte oder Computer, die zu demselben kompromittierten Netzwerk gehören, zum Beispiel im Fall von gehackten Hosting-Plattformen.

Durch die Verwendung gefälschter IP-Adressen, mit denen die wahren Identitäten der beteiligten Computer verschleiert werden, versuchen Täter der Entdeckung durch Strafverfolgungsbehörden und forensische Cyber-Ermittler zu entgehen. Durch die Verschleierung wird zudem verhindert, dass die Eigentümer von Computern in einem Botnet über ihre unwissentliche Beteiligung an einem Angriff informiert werden können. Darüber hinaus werden Sicherheitsskripts, Geräte und Dienste, die DDoS-Angriffe durch Blacklisting von angreifenden IP-Adressen abmildern können, umgangen.

2. Reflektierte DDoS-Angriffe

Ein reflektierter DDoS-Angriff (Distributed-Denial-of-Service-Angriff) verwendet IP-Spoofing, um gefälschte Anforderungen zu generieren, die angeblich im Auftrag einer IP-Adresse Antworten von geschützten zwischengeschalteten Servern auslösen. IP-Spoofing wird am häufigsten bei Denial-of-Service-Angriffen mit dem Ziel eingesetzt, Netzwerke oder Server mit einem übermäßigen Datenverkehr zu überfluten und zu blockieren. Bei der DNS-Verstärkung wird beispielsweise eine sogenannte ANY-Abfrage gestartet, die von der gefälschten Adresse stammt, und an zahlreiche unsichere DNS-Resolver gesendet. Jede 60-Byte-Anforderung kann hierbei eine 4 MB-Antwort auslösen, sodass Angreifer den Traffic etwa im Verhältnis 1:70 erhöhen können. Für den Angreifer spielt es dabei keine Rolle, ob er Antworten auf die Angriffspakete erhält oder nicht.

Pakete mit gefälschten IP-Adressen sind für Sicherheitssysteme schwieriger zu filtern, da jedes gefälschte Paket von einer anderen Adresse zu kommen scheint und die wahre Quelle des Angriffs verdeckt. Bei Denial-of-Service-Angriffen, die IP-Spoofing verwenden, werden in der Regel zufällig Adressen aus dem gesamten IP-Adressraum ausgewählt. Durch ausgefeiltere IP-Spoofing Mechanismen können mittlerweile ungenutzte Teile des IP-Adressraums vermieden werden. Durch die zunehmende Nutzung großer Botnets hat das IP-Spoofing bei Denial-of-Service-Angriffen inzwischen an Bedeutung verloren.

IP-Spoofing in Unternehmensnetzwerken

IP-Spoofing mit der Verwendung einer vertrauenswürdigen IP-Adresse kann von Netzwerk-Eindringlingen verwendet werden, um Netzwerksicherheitsmaßnahmen zu umgehen, zum Beispiel die Authentifizierung basierend auf IP-Adressen. Diese Art von Angriff ist am effektivsten, wenn Vertrauensbeziehungen zwischen Computern und Geräten in Netzwerken bestehen. In vielen Unternehmensnetzwerken ist es üblich, dass sich interne Systeme gegenseitig vertrauen, sodass sich Benutzer ohne einen Benutzernamen oder ein Passwort anmelden können, vorausgesetzt, sie stellen eine Verbindung von einem anderen Computer im internen Netzwerk her. Durch das Spoofing einer Verbindung von einem vertrauenswürdigen Computer kann ein Angreifer im selben Netzwerk möglicherweise ohne Authentifizierung auf den Zielcomputer im Netzwerk zugreifen.

Legitime Verwendung des IP-Spoofing

Hinter gefälschten IP-Paketen verbirgt sich nicht immer eine böswillige Absicht. Beim Testen der Leistung von Websites können Hunderte oder sogar Tausende von virtuellen Benutzern erstellt werden, die jeweils ein Testskript für die zu testende Website ausführen, um das zu simulieren, was passieren wird, wenn das System “live” geht und sich eine große Anzahl von Benutzern gleichzeitig anmeldet. Da jeder Benutzer normalerweise seine eigene IP-Adresse hat, können kommerzielle Testprodukte das IP-Spoofing verwenden, sodass jeder Benutzer seine eigene “Absenderadresse” erhält.

Abwehr von IP-Spoofing Angriffen

Paketfilterung ist eine mögliche Abwehrmaßname gegen IP-Spoofing Angriffe. Das Gateway zu einem Netzwerk führt normalerweise eine Ingress-Filterung durch, bei der Pakete von außerhalb des Netzwerks mit einer Quelladresse innerhalb des Netzwerks blockiert werden. Dies verhindert, dass ein externer Angreifer die Adresse eines internen Rechners fälschen kann. Idealerweise würde das Gateway auch eine Egress-Filterung bei ausgehenden Paketen durchführen. Dadurch werden Datenpakete von innerhalb des Netzwerks mit einer Quelladresse, die nicht innerhalb des Netzwerkes ist, blockiert. Dies würde verhindern, dass ein Angreifer von innerhalb des Netzwerks, das die Filterung durchführt, IP-Spoofing Angriffe gegen externe Server startet.

Es wird zudem empfohlen, Netzwerkprotokolle und -dienste so zu gestalten, dass sie für die Authentifizierung nicht auf die IP-Quelladresse angewiesen sind. Einige Protokolle der oberen Schicht bieten eine eigene Abwehr gegen IP-Spoofing Angriffe. Zum Beispiel verwendet das Transmission Control Protocol (TCP) Sequenznummern, die mit dem entfernten Server ausgehandelt wurden, um sicherzustellen, dass ankommende Pakete Teil einer hergestellten Verbindung sind. Da der Angreifer normalerweise keine Antwortpakete sehen kann, muss die Sequenznummer erraten werden, um die Verbindung zu kapern. Die schlechte Implementierung in vielen älteren Betriebssystemen und Netzwerkgeräten ermöglicht es jedoch, dass TCP-Sequenznummern vorhergesagt werden können.

Weitere Spoofing Definitionen

Spoofing bezeichnet allgemein den Identitätswechsel eines Benutzers, Geräts oder Clients im Internet. Es wird oft verwendet, um den Ursprung des Angriffs zu verschleiern. Die häufigsten Formen von Spoofing sind neben IP-Spoofing:

DNS-Server-Spoofing: Bei dieser Form des Spoofing werden DNS-Server manipuliert, um einen Domänennamen an eine andere IP-Adresse umzuleiten. Es wird normalerweise verwendet, um Viren zu verbreiten.
ARP-Spoofing: Beim ARP-Spoofing wird die MAC-Adresse eines Täters mit gefälschten ARP-Nachrichten mit einer legitimen IP-Adresse verknüpft. Es wird typischerweise bei Denial of Service (DoS) und Man-in-the-Middle-Angriffen eingesetzt.

Fazit

Der Begriff “Spoofing” bezieht sich manchmal auf Header-Fälschungen, das heißt das Einfügen von falschen oder irreführenden Informationen in E-Mail- oder Netnews-Headern. Gefälschte Header werden verwendet, um den Empfänger oder Netzwerkanwendungen hinsichtlich des Ursprungs einer Nachricht irrezuführen. Dies ist eine gängige Technik von Spammern, die den Ursprung ihrer Nachrichten verbergen wollen, um nicht aufgespürt zu werden.