Ip Spoofing

Was ist IP-Spoofing?

Werden IP-Pakete mit einer gefälschten Absender-IP-Adresse verschickt, wird dies als IP-Spoofing bezeichnet. Die Technik ist auch als Hijacking von Host-Dateien bekannt, dabei gibt sich der Angreifer als vertrauenswürdiger Host aus. Normalerweise beinhalten die Kopfdaten eines IP-Pakets die Quelladresse, also die Adresse, von der das Datenpaket gesandt wurde. Fälscht ein Angreifer diese Kopfdaten, lässt sich der Anschein erwecken, dass das Paket von einem anderen PC verschickt wurde. Auf diesem Weg können Cyberkriminelle Sicherheitsmaßnahmen wie die IP-basierte Authentifizierung umgehen und sich Zugriff auf ein Netzwerk verschaffen, eine Website fälschen, einen Browser übernehmen und die eigene Identität verschleiern.

Wie funktioniert IP-Spoofing?

Die Durchführung ist für den Angreifer relativ einfach. Er besorgt sich die IP-Adresse von einem zugelassenen Host und verändert den Header der eigenen Datenpakete entsprechend. Damit scheinen die Datenpakete von der IP-Adresse des Hosts zu stammen. Die Angriffsform ist besonders effektiv, wenn zwischen den Rechnern im Netzwerk vertrauenswürdige Beziehungen bestehen. Häufig vertrauen sich interne Systeme in Firmennetzwerken gegenseitig. Ein Anwender kann sich dann ohne Eingabe von Login-Daten anmelden, was den erfolgreichen Angriff erleichtert. Der Angreifer fälscht die Adresse eines vertrauenswürdigen Rechners und greift den Zielrechner ohne nötige Authentifizierung an.

Was passiert beim IP-Spoofing?

Das Ziel kann die Übernahme eines Browsers sein. In dem Fall trägt der Nutzer die URL ein und landet nicht auf der gewünschten Zielseite, sondern auf der Seite des Angreifers. Interagiert der Anwender auf der betrügerischen Seite mit dynamischen Inhalten, kann der Cyberkriminelle Zugang zu sensiblen Daten erhalten oder Malware installieren. Weiter besteht die Möglichkeit, den angegriffenen Computer zu übernehmen und in ein Zombie-Netzwerk zu integrieren. In der Folge wird der Rechner für zukünftige Angriffe auf andere Systeme ausgenutzt.

Wie lässt sich die Gefahr von IP-Spoofing verringern?

Das Risiko der Fälschung von IP-Adressen minimieren Administratoren unter anderem mit Einmal-Passwörtern, Verschlüsselung und dem Einsatz einer Firewall. Die Firewall blockiert die ausgehenden Daten-Pakete, wenn die Adresse des Absenders nicht mit der IP-Adresse des Computers oder Netzwerks übereinstimmt. Die Paketfilter sind eine wirksame Gegenmaßnahme und funktionieren idealerweise in beide Richtungen. Haben von außen kommende Datenpakete die Adresse eines internen Rechners, werden diese ebenfalls blockiert. Das Fälschen einer internen Maschine wird so verhindert. IP-Spoofing wäre zudem ein kleineres Problem, wenn die Internetdienstanbieter (ISP) ausgehende Datenpakete filtern würden, die sich anhand der Quelladresse nicht als Pakete aus dem eigenen Netz erkennen lassen.