Was ist IP-Spoofing?

Gefälschte IP-Pakete mit gefälschten Quelladressen werden häufig bei Angriffen verwendet, deren Ziel es ist, die Erkennung zu umgehen.

Share facebook icon linkedin icon twitter icon email icon

IP-Spoofing

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bestimmen Sie IP-Spoofing
  • Beschreiben Sie, wie IP-Spoofing bei DDoS-Angriffen verwendet wird
  • Beschreiben Sie eine Möglichkeit, sich gegen IP-Spoofing zu schützen

Was ist IP-Spoofing?

IP-Spoofing ist die Erstellung von Internet Protocol (IP)-Paketen, die eine geänderte Quelladresse haben, um entweder die Identität des Absenders zu verbergen, sich für ein anderes Computersystem auszugeben oder beides. Es ist eine Technik, die oft von schlechten Akteuren verwendet wird, um DDoS-Angriffe gegen ein Zielgerät oder die umgebende Infrastruktur auszuführen.


Das Senden und Empfangen von IP-Paketen ist eine der wichtigsten Kommunikationsarten für vernetzte Computer und andere Geräte und bildet die Grundlage für das moderne Internet. Alle IP-Pakete enthalten einen Header, der dem Body des Pakets vorangestellt ist und wichtige Routinginformationen enthält, einschließlich der Quelladresse. In einem normalen Paket ist die Quell-IP-Adresse die Adresse des Absenders des Pakets. Wenn das Paket gefälscht wurde, wird die Quelladresse gefälscht.

IP Spoofing DDoS Attack

IP-Spoofing ist analog zu einem Angreifer, der ein Paket an jemanden mit der falschen Absenderadresse sendet. Wenn die Person, die das Paket erhält, den Absender davon abhalten möchte, Pakete zu versenden, wird das Blockieren aller Pakete von der gefälschten Adresse wenig nützen, da die Absenderadresse leicht geändert werden kann. In diesem Zusammenhang, wenn der Empfänger auf die Absenderadresse antworten möchte, geht sein Antwortpaket an einen anderen Ort als den eigentlichen Absender. Die Fähigkeit, die Adressen von Paketen zu fälschen, ist eine zentrale Schwachstelle, die von vielen DDoS-Angriffen ausgenutzt wird.


DDoS-Angriffe verwenden oft Spoofing mit dem Ziel, einen Zielserver mit Traffic zu überfordern und gleichzeitig die Identität der bösartigen Quelle zu maskieren und so Abwehrmaßnahmen zu verhindern. Wenn die Quell-IP-Adresse gefälscht und kontinuierlich willkürlich ausgewählt wird, wird das Blockieren bösartiger Anfragen schwierig. IP-Spoofing macht es auch für Strafverfolgungs- und Cybersicherheitsteams schwierig, den Täter des Angriffs zu erkennen.


Spoofing wird auch verwendet, um sich als ein anderes Gerät auszugeben, so dass die Antworten stattdessen an dieses Zielgerät gesendet werden. Volumetrische Angriffe wie NTP-Amplification und DNS-Amplification nutzen diese Schwachstelle. Die Möglichkeit, die Quell-IP zu modifizieren, ist dem Design von TCP/IP inhärent und macht sie zu einem ständigen Sicherheitsproblem.

Tangential zu DDoS-Angriffen kann das Spoofing auch mit dem Ziel durchgeführt werden, sich als ein anderes Gerät auszugeben, um die Authentifizierung zu umgehen und Zugriff auf die Sitzung eines Benutzers zu erhalten oder sie zu „entführen“.

Wie man sich vor IP-Spoofing schützt (Paketfilterung)

IP-Spoofing kann zwar nicht verhindert werden, aber es können Maßnahmen ergriffen werden, um zu verhindern, dass gefälschte Pakete in ein Netzwerk gelangen. Eine sehr verbreitete Abwehr gegen Spoofing ist die Eingangsfilterung, die in BCP38 (einem „Best Common Practice“- Dokument) beschrieben ist. Die Eingangsfilterung ist eine Form der Paketfilterung, die normalerweise auf einem Netzwerkrand-Gerät implementiert wird, das eingehende IP-Pakete untersucht und ihre Quell-Header betrachtet. Wenn die Quell-Header auf diesen Paketen nicht mit ihrem Ursprung übereinstimmen oder sie ansonsten suspekt aussehen, werden die Pakete abgelehnt. Einige Netzwerke implementieren auch eine Ausgangsfilterung, die sich mit IP-Paketen befasst, die das Netzwerk verlassen, um sicherzustellen, dass diese Pakete legitime Quell-Header haben, die verhindern, dass jemand innerhalb des Netzwerks einen ausgehenden bösartigen Angriff mit IP-Spoofing startet.