IP-Spoofing

IP-Spoofing

IP-Spoofing bezeichnet in Computernetzen das Versenden von IP-Paketen mit gefälschter Absender-IP-Adresse.

Schematische Darstellung des IP-Spoofing (portugiesisch)

Die Kopfdaten jedes IP-Pakets enthalten dessen Quelladresse. Dies sollte die Adresse sein, von der das Paket gesendet wurde. Indem der Angreifer die Kopfdaten so fälscht, dass sie eine andere Adresse enthalten, kann ein Angreifer das Paket so aussehen lassen, als ob das Paket von einem anderen Computer gesendet wurde. Dies kann von Eindringlingen dazu genutzt werden, Sicherheitsmaßnahmen wie z. B. IP-adressbasierte Authentifizierung im Netzwerk auszutricksen.

Das Verschleiern einer Rechnerkommunikation ist bei TCP-Verbindungen auf diese Weise nicht möglich, weil die Antwort-Pakete zu dem „echten“ Rechner der gefälschten IP-Adresse geschickt werden. In nicht geswitchten Netzen kann ein Angreifer die Antwortpakete allerdings auch sehen, so dass sein Rechner in gewissem Umfang an Stelle der gefälschten IP-Adresse auftreten kann (siehe Sniffing).

Diese Art von Angriff ist am effektivsten, wenn zwischen den Maschinen in einem Netzwerk Vertrauensbeziehungen bestehen. In manchen Firmennetzen ist es durchaus üblich, dass interne Systeme sich gegenseitig vertrauen, so dass ein Benutzer sich ohne Benutzernamen und Passwort einloggen kann, wenn er von einer anderen internen Maschine auf das Netzwerk zugreift und daher bereits auf einem anderen Rechner eingeloggt ist. Indem nun eine Verbindung von einer vertrauenswürdigen Maschine gefälscht wird, könnte ein Angreifer den Zielrechner angreifen, ohne sich zu authentifizieren.

Gegenmaßnahmen

Paketfilter sind eine mögliche Gegenmaßnahme gegen IP-Spoofing. Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden, deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IP-Adressen von externen Maschinen gespooft werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internetdienstanbietern: Wenn jeder ISP konsequent ausgehende Pakete filtern würde, die laut ihrer Quelladresse nicht aus dem eigenen Netz stammen, wäre massenhaftes IP-Spoofing (häufig in Verbindung mit Denial of Service-Attacken) ein wesentlich geringeres Problem als es heute im Internet ist.

Einige Protokolle auf höheren Schichten stellen eigene Maßnahmen gegen IP-Spoofing bereit. Das Transmission Control Protocol (TCP) benutzt beispielsweise Sequenznummern, um sicherzustellen, dass ankommende Pakete auch wirklich Teil einer aufgebauten Verbindung sind. Die schlechte Implementierung der TCP-Sequenznummern in vielen älteren Betriebssystemen und Netzwerkgeräten führt jedoch dazu, dass es dem Angreifer unter Umständen möglich ist, die Sequenznummern zu erraten und so den Mechanismus zu überwinden. Alternativ könnte er einen Man-in-the-middle-Angriff versuchen.

Dass sich ein Wurm aber auch innerhalb eines einzigen UDP-Pakets verbreiten kann, hat im Jahr 2003 SQL Slammer bewiesen. Dieser benutzte damals kein IP-Spoofing, wäre damit aber wahrscheinlich besser durch Firewalls mit Anti-Spoofing-Funktionalität gekommen.

Hätte eine Firewall z. B. eine Regel, die den MS-SQL-Dienst (UDP Port 1433) von einer IP-Adresse A.A.A.A zu B.B.B.B erlaubt, müsste der Wurm auf dem Rechner C.C.C.C seine eigene Absender-Adresse nur auf A.A.A.A fälschen um die Firewall zu passieren. Da nur ein einziges Paket notwendig ist und das User Datagram Protocol (UDP) keinen Zustand hat, würde auch eine Stateful Firewall keinen Schutz bieten.

Sicherheits-Implikationen

IP-Spoofing lässt sich für sich genommen nur beschränkt zum Einbruch in andere Systeme benutzen, da alle Antwortpakete des angegriffenen Rechners an die gefälschte Adresse gesendet werden. Umgekehrt lässt sich dieses Verhalten jedoch auch als „Waffe“ benutzen, wenn mit gespooften Paketen SYN-Flooding betrieben wird; hierzu sendet man gefälschte Pakete an bestimmte Rechner, und die Antwortpakete landen bei dem als Quelladresse angegebenen Opfer, dessen Verbindung dadurch möglicherweise lahmgelegt wird. Die Identität des tatsächlichen Angreifers ist dabei nur schwer feststellbar, da die Quelle der Antwortpakete natürlich der vorher überrumpelte arglose Rechner ist.

Siehe auch


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Spoofing — Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada.… …   Wikipedia Español

  • Spoofing — (englisch, zu Deutsch: Manipulation, Verschleierung oder Vortäuschung) nennt man in der Informationstechnik verschiedene Täuschungsversuche in Computernetzwerken zur Verschleierung der eigenen Identität. Personen werden in diesem Zusammenhang… …   Deutsch Wikipedia

  • Spoofing —   [dt. »schwindeln«], allgemein das Vortäuschen eines bestimmten Kontexts, mit dem das Opfer (also der Getäuschte) dazu veranlasst werden soll, Informationen welcher Art auch immer unwissentlich preiszugeben. Spoofing kann es in verschiedenen… …   Universal-Lexikon

  • Spoofing attack — In the context of network security, a spoofing attack is a situation in which one person or program successfully masquerades as another by falsifying data and thereby gaining an illegitimate advantage. Man in the middle attack and internet… …   Wikipedia

  • Spoofing — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Le mot spoofing est un terme anglais utilisé en informatique pour désigner : ARP spoofing ; Address Bar spoofing (URL/SSL/TLS spoofing);… …   Wikipédia en Français

  • spoofing — ● ►en /spou fing/ n. m. ►SECU Usurpation . Mystification sur un réseau. On peut faire de l address spoofing, de l IP spoofing ou encore du web spoofing …   Dictionnaire d'informatique francophone

  • Spoofing — Bezeichnet in der Regel das Einfügen einer falschen IP Absenderadresse in die Kommunikation mit einem Server. Man gibt sich gewissermassen als jemand anderer aus, als man ist (IP Spoofing). Spoofing kann von Suchmaschinen Betreibern verwendet… …   SEO Wörterbuch

  • Spoofing (finance) — Le spoofing en finance est une technique de manipulation boursière qui consiste à offrir des titres à la vente ou l’achat dans l’intention d’annuler l’ordre juste avant qu’il soit exécuté, et ceci afin d’obtenir un mouvement favorable des prix.… …   Wikipédia en Français

  • Spoofing — A type of deception where an intruder attempts to gain unauthorized access to a user’s system or information via pretending to be the user. In email spoofing (or phishing), the user receives an email that appears to be from a legitimate… …   Investment dictionary

  • Spoofing — s. DNS spoofing …   Acronyms

  • Spoofing — s. DNS spoofing …   Acronyms von A bis Z

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”