Was ist IP-Spoofing?

Gefälschte IP-Pakete mit gefälschten Quelladressen werden häufig bei Angriffen verwendet, deren Ziel es ist, die Erkennung zu umgehen.

Share facebook icon linkedin icon twitter icon email icon

IP-Spoofing

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bestimmen Sie IP-Spoofing
  • Beschreiben Sie, wie IP-Spoofing bei DDoS-Angriffen verwendet wird
  • Beschreiben Sie eine Möglichkeit, sich gegen IP-Spoofing zu schützen

Was ist IP-Spoofing?

Beim IP-Spoofing werden IP-Pakete (Internetprotokoll-Pakete) mit manipulierter Quelladresse erzeugt, um entweder die Identität des Absenders zu verbergen, sich für ein anderes Computersystem auszugeben oder beides. Diese Technik wird oft von böswilligen Tätern für DDoS-Angriffe gegen ein Zielgerät oder die umgebende Infrastruktur genutzt.


Das Senden und Empfangen von IP-Paketen ist eine der wichtigsten Kommunikationsmethoden für vernetzte Computer und andere Geräte und damit die Grundlage für das moderne Internet. Alle IP-Pakete enthalten vor dem eigentlichen Paketinhalt (Body) einen Header mit wichtigen Routinginformationen, darunter der Quelladresse. Bei einem normalen Paket ist die Quell-IP-Adresse die Adresse des Paketabsenders. Wenn das Paket manipuliert wurde, ist die Quelladresse wahrscheinlich gefälscht.

IP Spoofing DDoS Attack

IP-Spoofing ist damit vergleichbar, dass ein Angreifer ein Paket an jemanden sendet und dabei eine falsche Absenderadresse angibt. Wenn der Empfänger des Pakets verhindern möchte, dass der Absender ihm weitere Pakete sendet, nützt es wenig, alle Pakete zu blockieren, die von der falschen Adresse stammen. Die Absenderadresse kann leicht geändert werden. Wenn der Empfänger eine Antwort an die Absenderadresse schickt, wird sein Antwortpaket nicht an den tatsächlichen Absender gesendet, sondern irgendwo anders hin. Die Möglichkeit, Adressen von Paketen zu fälschen, ist eine zentrale Schwachstelle, die bei vielen DDoS-Angriffen ausgenutzt wird.


Bei DDoS-Angriffen werden häufig solche Manipulationen („Spoofing“) genutzt. Damit soll erreicht werden, dass ein Ziel mit Traffic überlastet und gleichzeitig die Identität der böswilligen Quelle verschleiert wird, um Bekämpfungsmaßnahmen zu verhindern. Wenn die Quell-IP-Adresse gefälscht und immer wieder zufällig erzeugt wird, können böswillige Anfragen nur schwer blockiert werden. IP-Spoofing macht es auch Strafverfolgungs- und Cybersicherheitsteams schwer, bei einem Angriff den Täter aufzuspüren.


Durch Spoofing kann man sich auch als anderes Gerät ausgeben, sodass Antworten an dieses Zielgerät gesendet werden. Bei volumetrischen Angriffen wie NTP Amplification und DNS Amplification wird diese Schwachstelle ausgenutzt. Die Möglichkeit, die Quell-IP zu ändern, ist bei TCP/IP systemimmanent und ein ständiges Sicherheitsproblem.

Tangential zu DDoS-Angriffen kann das Spoofing auch mit dem Ziel durchgeführt werden, sich als ein anderes Gerät auszugeben, um die Authentifizierung zu umgehen und Zugriff auf die Sitzung eines Benutzers zu erhalten oder sie zu „entführen“.

Wie man sich vor IP-Spoofing schützt (Paketfilterung)

IP-Spoofing lässt sich zwar nicht verhindern, aber man kann Maßnahmen dagegen ergreifen, dass manipulierte Pakete in ein Netzwerk eindringen. Eine sehr verbreitete Verteidigung gegen Spoofing sind die in BCP38 (einem Best-Current-Practice-Dokument) beschriebenen Ingress-Filter. Ingress-Filterung ist eine Form der Paketfilterung, die normalerweise auf einem Gerät am Netzwerkrand implementiert wird. Dabei werden eingehende IP-Pakete untersucht und ihre Quell-Header überprüft. Wenn die Quell-Header dieser Pakete nicht zu ihrem Ursprung passen oder auf andere Weise verdächtig aussehen, werden die Pakete zurückgewiesen. Bei einigen Netzwerken werden auch Egress-Filter implementiert. Hierbei werden IP-Pakete überprüft, die das Netzwerk verlassen, um zu gewährleisten, dass diese Pakete mit legitimen Quell-Headern versehen sind. So kann man verhindern, dass jemand innerhalb des Netzwerks mithilfe von IP-Spoofing einen heimtückischen Angriff nach außen durchführt.