Was ist IP-Spoofing?

Gefälschte IP-Pakete mit gefälschten Quelladressen werden häufig bei Angriffen verwendet, deren Ziel es ist, die Erkennung zu umgehen.

Share facebook icon linkedin icon twitter icon email icon

IP-Spoofing

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bestimmen Sie IP-Spoofing
  • Beschreiben Sie, wie IP-Spoofing bei DDoS-Angriffen verwendet wird
  • Beschreiben Sie eine Möglichkeit, sich gegen IP-Spoofing zu schützen

Was ist IP-Spoofing?

Beim IP-Spoofing werden IP-Pakete (Internetprotokoll-Pakete) mit manipulierter Quelladresse erzeugt, um entweder die Identität des Absenders zu verbergen, sich für ein anderes Computersystem auszugeben oder beides. Diese Technik wird oft von böswilligen Akteuren für DDoS-Angriffe gegen ein Zielgerät oder die umgebende Infrastruktur eingesetzt.


Das Senden und Empfangen von IP-Paketen ist eine der wichtigsten Kommunikationsmethoden für vernetzte Computer und andere Geräte und damit die Grundlage für das moderne Internet. Alle IP-Pakete enthalten vor dem eigentlichen Paketinhalt (Body) einen Header mit wichtigen Routinginformationen, darunter der Quelladresse. Bei einem normalen Paket ist die Quell-IP-Adresse die Adresse des Paketabsenders. Wenn das Paket manipuliert wurde, ist die Quelladresse wahrscheinlich gefälscht.

IP-Spoofing-DDoS-Angriff

IP-Spoofing ist damit vergleichbar, dass ein Angreifer ein Paket an jemanden sendet und dabei eine falsche Absenderadresse angibt. Wenn der Empfänger des Pakets verhindern möchte, dass der Absender ihm weitere Pakete sendet, nützt es wenig, alle Pakete zu blockieren, die von der falschen Adresse stammen. Die Absenderadresse kann leicht geändert werden. Wenn der Empfänger eine Antwort an die Absenderadresse schickt, wird sein Antwortpaket nicht an den tatsächlichen Absender gesendet, sondern irgendwo anders hin. Die Möglichkeit, Adressen von Paketen zu fälschen, ist eine zentrale Schwachstelle, die bei vielen DDoS-Angriffen ausgenutzt wird.


Bei DDoS-Angriffen werden häufig solche Manipulationen („Spoofing“) genutzt. Damit soll erreicht werden, dass ein Ziel mit Traffic überlastet und gleichzeitig die Identität der böswilligen Quelle verschleiert wird, um Bekämpfungsmaßnahmen zu verhindern. Wenn die Quell-IP-Adresse gefälscht und immer wieder zufällig erzeugt wird, können böswillige Anfragen nur schwer blockiert werden. IP-Spoofing macht es auch Strafverfolgungs- und Cybersicherheitsteams schwer, bei einem Angriff den Täter aufzuspüren.


Durch Spoofing kann man sich auch als anderes Gerät ausgeben, sodass Antworten an dieses Zielgerät gesendet werden. Bei volumetrischen Angriffen wie NTP Amplification und DNS Amplification wird diese Schwachstelle ausgenutzt. Die Möglichkeit, die Quell-IP zu ändern, ist bei TCP/IP systembedingt und ein ständiges Sicherheitsproblem.

Tangential zu DDoS-Angriffen kann das Spoofing auch mit dem Ziel durchgeführt werden, sich als ein anderes Gerät auszugeben, um die Authentifizierung zu umgehen und Zugriff auf die Sitzung eines Benutzers zu erhalten oder sie zu „entführen“.

Wie man sich vor IP-Spoofing schützt (Paketfilterung)

IP-Spoofing lässt sich zwar nicht verhindern, aber man kann Maßnahmen dagegen ergreifen, dass manipulierte Pakete in ein Netzwerk eindringen. Eine sehr verbreitete Abwehr gegen Spoofing ist die Eingangsfilterung, die in BCP38 (einem „Best Common Practice“- Dokument) beschrieben ist. Eingangsfilterung ist eine Form der Paketfilterung, die normalerweise auf einem Gerät am Netzwerkrand implementiert wird. Dabei werden eingehende IP-Pakete untersucht und ihre Quell-Header überprüft. Wenn die Quell-Header auf diesen Paketen nicht mit ihrem Ursprung übereinstimmen oder sie ansonsten suspekt aussehen, werden die Pakete abgelehnt. Einige Netzwerke implementieren auch eine Ausgangsfilterung, bei der IP-Pakete überprüft werden, die das Netzwerk verlassen, um sicherzustellen, dass diese Pakete legitime Quell-Header haben. So kann verhindert werden, dass jemand innerhalb des Netzwerks einen ausgehenden heimtückischen Angriff mit IP-Spoofing startet.