IP-Spoofing

Egal, ob Sie als Privatperson im Internet unterwegs oder für ein lokales Netzwerk verantwortlich sind: Der Schutz vor unbefugten Zugriffen und systemschädigenden Angriffen spielt stets eine wichtige Rolle. Auf verschiedensten Wegen verschaffen sich Kriminelle seit Jahrzehnten Zugriff auf fremde Computersysteme und richten dabei mal kleinere, mal größere Schäden an. Vom Angriff selbst bekommt man in der Regel gar nichts mit, sofern die Eindringlinge ihr Handwerk verstehen. Ferner wissen viele Cyberkriminelle auch ihre Spuren zu verwischen, sodass es mit gewöhnlichen Mitteln nahezu unmöglich ist, den Ursprung der Attacken im Nachhinein zu ermitteln. Eine der beliebtesten Techniken der Cybergangster ist von jeher das sogenannte Spoofing (dt. Manipulation; Verschleierung), das in seiner ursprünglichen Form, dem IP-Spoofing, bereits in den 1980er-Jahren in Experten-Kreisen ein Thema war.

Was ist IP-Spoofing?

Beim sogenannten IP-Spoofing handelt es sich um ein Verfahren, bei dem TCP/IP- oder UDP/IP-Datenpakete mit einer gefälschten Absenderadresse versendet werden. Dabei greift der Angreifer auf die Adresse eines autorisierten, vertrauenswürdigen Systems zurück. Auf diese Weise kann er eigene Pakete in das fremde Rechnersystem einschleusen, die ansonsten von einem Filtersystem blockiert werden würden. In den meisten Fällen dient IP-Spoofing der Ausführung von DoS- und DDoS-Attacken. Unter bestimmten Umständen kann der Angreifer allerdings mit der entwendeten IP auch den Datenverkehr zwischen zwei oder mehreren Rechnersystemen abfangen oder manipulieren. Solche Man-in-the-Middle-Angriffe mithilfe von IP-Spoofing setzen heutzutage jedoch (bis auf wenige Ausnahmefälle) voraus, dass sich der Angreifer im selben Subnetz wie der Geschädigte befindet.

IP fälschen: Darum funktioniert das Spoofing

Die Möglichkeit, die IP-Adresse zu fälschen, ist dadurch gegeben, dass Quell- und Zieladresse, die jedes IP-Paket in seinem Header enthält, nicht ausreichend vor Manipulation geschützt sind. Es existieren weder Mechanismen, um diese Angaben zu verschlüsseln, noch, um sie auf Korrektheit zu prüfen. Der Angreifer erhält mit einem einfachen IP-Spoofing-Angriff keinerlei Zugriff auf den Datenverkehr. Er verändert nämlich lediglich den Adresseintrag im entsprechenden Paket, während die tatsächliche IP-Adresse unverändert bleibt. Somit gelangt die Antwort auf die ausgesandten Daten auch nicht zu ihm, sondern zu dem Rechner, dessen Adresse er angegeben hat.

Dass ein dritter, nicht autorisierter Teilnehmer hinter dem IP-Paket steckt, bleibt dem antwortenden System verborgen, was IP-Spoofing für die bereits angesprochenen DoS- und DDoS-Angriffe nutzbar macht. Vor allem folgende zwei Szenarien sind denkbar:

  1. Auf Basis der entwendeten Quelladresse verschickt der Angreifer Datenpakete in großer Zahl an verschiedene Systeme innerhalb des jeweiligen Netzwerks. Diese beantworten die Kontaktaufnahme, indem sie ebenfalls ein Datenpaket versenden – und zwar an den eigentlich unbeteiligten Rechner, dessen IP-Adresse zweckentfremdet wurde.
  2. Ein angestrebter Zielrechner erhält zeitgleich Datenpakete von diversen gefälschten IP-Adressen und wird dadurch überlastet.

Die Rechner, deren IP-Adresse der Angreifer entwendet, können also entweder Ziel der DDoS-Attacke sein oder im Verbund als Werkzeug einer solchen herhalten. In beiden Fällen bleibt der Angreifer unerkannt, da die versendeten Pakete offiziell von den Rechnern zu stammen scheinen, deren IPs übernommen wurden.

Wie Angreifer auch den Drei-Wege-Handschlag überlisten

Ein Angreifer kann die absichtlich herbeigeführte Überlastung prinzipiell von jedem beliebigen Ort aus initiieren, insofern der Zielrechner mit dem Internet verbunden ist. Im Gegensatz dazu ist ein direkter Zugriff auf den Datenverkehr mittlerweile erheblich schwerer möglich, wenn sich der Computer des Eindringlings nicht in demselben Subnetz befindet. Das liegt darin begründet, dass das Abfangen eines Datenpaketes nur mithilfe der entsprechenden Paket-Sequenznummer gelingt – ein Vorhaben, das heute im Vergleich zu früheren Tagen von außerhalb nahezu unmöglich ist.

In der Vergangenheit generierten Betriebssysteme und Netzwerkgeräte diese im TCP-Header eingetragenen Vorgangsnummern noch nach einem immer gleichen Muster. Angreifer konnten so einfach testweise mehrere Pakete an das angepeilte System schicken und dank der Empfangsbestätigungen die nächstfolgende Sequenznummer vorhersagen. Das hinter der Nummer steckende Paket konnten sie nun lesen oder manipulieren und anschließend mit gefälschter Absender-IP weiterleiten, ohne dass es von den beiden kommunizierenden Systemen registriert wurde. Da viele Systeme auf hostbasierte Log-in-Verfahren zurückgriffen, die Anmeldedaten wie Benutzernamen und Passwörter unverschlüsselt übertrugen, konnte der Angreifer mit etwas Glück sogar tatsächlich eine Verbindung aufbauen. Da heutige Systeme die Sequenznummern zufällig ausgeben, sind diese sogenannten TCP-Sequence-Prediction-Angriffe (auch Blind Spoofing genannt) im Grunde genommen unwirksam geworden – allerdings sind ältere Geräte auch weiterhin gefährdet.

Bewegt sich der IP-Spoofer in demselben Subnetz – also zum Beispiel in einem lokalen Netzwerk – wie das angegriffene System, gelangt er wesentlich einfacher an die Sequenznummer bzw. die dahintersteckenden IP-Pakete. Anstatt diese mühsam zu ermitteln, kann er den gesamten Datenverkehr filtern, analysieren und sich die gewünschten Datenpakete herausgreifen. Man spricht aus diesem Grund auch von Non-Blind Spoofing.

So schützen Sie sich vor IP-Spoofing

Seit Jahrzehnten beschäftigt die Problematik des IP-Spoofings die Sicherheitsbeauftragten und Fachleute der Computerbranche. Insbesondere die Tatsache, wie einfach sich DoS- bzw. DDoS-Angriffe durchführen lassen, macht das IP-Manipulations-Verfahren für Kriminelle auch heute noch interessant. Schon lange hält sich daher die Forderung nach einer gezielten Filterung des ausgehenden Datenverkehrs durch Internetdienstleister, die Pakete mit Quelladressen außerhalb des zugrundeliegenden Netzwerkes erfasst und verwirft. Aufwand und Kostenfaktor sind jedoch wesentliche Gründe dafür, dass bisher lediglich bei der Forderung bleibt, aber niemand ihr nachkommen möchte.

Ein weiterer Grund für die zögerliche Haltung der Anbieter dürfte ferner in den Sicherheitseigenschaften der überarbeiteten Internetprotokoll-Version IPv6 liegen. Unter anderem beinhaltet der offizielle Nachfolger des aktuell noch sehr verbreiteten IPv4 verschiedene optionale Authentifizierungs- und Verschlüsselungsmöglichkeiten für den Header der Datenpakete, die IP-Spoofing zukünftig komplett verhindern könnten. Der Umstieg auf das neue Adressierungsprotokoll erweist sich allerdings bisher als sehr zähe Angelegenheit, was sich zum Beispiel in der fehlenden IPv6-Unterstützung diverser gängiger Netzwerkgeräte äußert.

Um zu verhindern, dass ein Angreifer Ihre IP-Adresse fälscht und zweckentfremdet, haben Sie folglich nur die Möglichkeit, selbst die Initiative zu ergreifen, indem Sie eigene Schutzmechanismen einrichten. Setzen Sie dabei den Schwerpunkt auf die folgenden zwei Maßnahmen:

  • Richten Sie eine umfassende Paketfilterung für Ihren Router bzw. Ihr Sicherheits-Gateway ein. Diese sollte eingehende Datenpakete analysieren und verwerfen, wenn sie Quelladressen von Geräten innerhalb Ihres Netzwerkes aufweisen. Andererseits sollten Sie auch selbst die Filterung ausgehender Pakete mit Absender-Adressen übernehmen, die außerhalb des eigenen Netzwerkes liegen. Auch, wenn Sicherheitsexperten diesbezüglich die Internetdienstanbieter in der Pflicht sehen.
  • Verzichten Sie auf hostbasierte Authentifizierungsverfahren. Tragen Sie dafür Sorge, dass alle Log-in-Methoden über verschlüsselte Verbindungen stattfinden. Damit minimieren Sie das Risiko eines IP-Spoofing-Angriffs innerhalb Ihres Netzwerkes und setzen nebenbei auch wichtige Standards für die allgemeine Sicherheit.

Ferner sollten Sie natürlich auch ältere Betriebssysteme und Netzwerkgeräte austauschen, sofern Sie solche noch nutzen. Auf diese Weise werden Sie nicht nur Ihren Schutz vor IP-Spoofing erhöhen, sondern auch zahlreiche andere Sicherheitslücken schließen.