What is IP spoofing?

Gefälschte IP-Pakete mit gefälschten Quelladressen werden häufig bei Angriffen verwendet, deren Ziel es ist, die Erkennung zu umgehen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bestimmen Sie IP-Spoofing
  • Beschreiben Sie, wie IP-Spoofing bei DDoS-Angriffen verwendet wird
  • Beschreiben Sie eine Möglichkeit, sich gegen IP-Spoofing zu schützen

Link zum Artikel kopieren

Was ist IP-Spoofing?

Beim IP-Spoofing werden IP-Pakete (Internetprotokoll-Pakete) mit manipulierter Quelladresse erzeugt, um entweder die Identität des Absenders zu verbergen, sich für ein anderes Computersystem auszugeben oder beides. Diese Technik wird oft von böswilligen Akteuren für DDoS-Angriffe gegen ein Zielgerät oder die umgebende Infrastruktur eingesetzt.

Das Senden und Empfangen von IP-Paketen ist eine der wichtigsten Kommunikationsmethoden für vernetzte Computer und andere Geräte und damit die Grundlage für das moderne Internet. Alle IP-Pakete enthalten vor dem eigentlichen Paketinhalt (Body) einen Header mit wichtigen Routinginformationen, darunter der Quelladresse. Bei einem normalen Paket ist die Quell-IP-Adresse die Adresse des Paketabsenders. Wenn das Paket manipuliert wurde, ist die Quelladresse wahrscheinlich gefälscht.

IP-Spoofing-DDoS-Angriff

IP-Spoofing ist damit vergleichbar, dass ein Angreifer ein Paket an jemanden sendet und dabei eine falsche Absenderadresse angibt. Wenn der Empfänger des Pakets verhindern möchte, dass der Absender ihm weitere Pakete sendet, nützt es wenig, alle Pakete zu blockieren, die von der falschen Adresse stammen. Die Absenderadresse kann leicht geändert werden. Wenn der Empfänger eine Antwort an die Absenderadresse schickt, wird sein Antwortpaket nicht an den tatsächlichen Absender gesendet, sondern irgendwo anders hin. Die Möglichkeit, Adressen von Paketen zu fälschen, ist eine zentrale Schwachstelle, die bei vielen DDoS-Angriffen ausgenutzt wird.

Bei DDoS-Angriffen werden häufig solche Manipulationen („Spoofing“) genutzt. Damit soll erreicht werden, dass ein Ziel mit Traffic überlastet und gleichzeitig die Identität der böswilligen Quelle verschleiert wird, um Bekämpfungsmaßnahmen zu verhindern. Wenn die Quell-IP-Adresse gefälscht und immer wieder zufällig erzeugt wird, können böswillige Anfragen nur schwer blockiert werden. IP-Spoofing macht es auch Strafverfolgungs- und Cybersicherheitsteams schwer, bei einem Angriff den Täter aufzuspüren.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

Tangential zu DDoS-Angriffen kann das Spoofing auch mit dem Ziel durchgeführt werden, sich als ein anderes Gerät auszugeben, um die Authentifizierung zu umgehen und Zugriff auf die Sitzung eines Benutzers zu erhalten oder sie zu „entführen“.

Wie man sich vor IP-Spoofing schützt (Paketfilterung)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.