Was ist eine Spoofing Attack?
Normale Internetnutzer hinterlassen beim Surfen im Internet Spuren, eine Art eigener „Fingerabdruck“. Das ermöglicht die eindeutige Identifizierung einer Person bzw. des verwendeten Rechners. Ein Spoofer verhindert diese Rückverfolgung jedoch und nutzt die Anonymität für Angriffe. Der Begriff Spoofing steht somit für das Verschleiern der eigenen Identität.
Wie funktioniert eine Spoofing Attack?
Um anonym Datenpakete versenden zu können, kann ein Cyberkrimineller die Technik des IP-Spoofings anwenden. Dabei wird die eigene IP-Adresse durch die Adresse eines anderen Computers ersetzt. Diese Maskierung ermöglichen auch Proxy-Server, die Identifizierung ist dann jedoch über die Log-Dateien des Proxys möglich. Mithilfe des IP-Spoofings kann eine Spoofing Attack erfolgen, bei der Datenpakete in ein Netzwerk eingeschleust werden, ohne dass die Firewall bzw. das Paketfiltersystem einschreitet. Eine Firewall weist externe IP-Adressen in der Regel automatisch ab und verhindert so den Zugriff von außen. Ein gespooftes Datenpaket scheint jedoch von einem internen Computer zu stammen und wird daher an den Zielrechner weitergeleitet. Die Verschleierung der tatsächlichen IP-Adresse erfolgt über die Veränderung der Quell-IP-Adresse im TCP-Header. Für den Datentransport im Internet ist das TCP-Protokoll wichtig. Dafür nutzt es das IP-Protokoll mit einem System von Empfangsbestätigungen. Dies ermöglicht es bei der Kommunikation zwischen Client und Server den Empfang der Daten auf beiden Seiten zu kontrollieren. Bevor ein Daten empfangender Rechner ein Datenpaket annimmt, verschickt dieser eine Empfangsbestätigung an den sendenden Rechner und wartet auf die Bestätigung.
Was passiert bei der Spoofing Attack?
Ein Angriff durch IP-Spoofing wird auch als blinder Angriff bezeichnet. Der Grund: Der Angreifende erhält keine Informationen vom angegriffenen Rechner zurück, da dessen Antworten an einen anderen Rechner im Netzwerk (die vom Angreifer vorgetäuschte Adresse) gehen. Während des Angriffs wird der gespoofte Rechner unbrauchbar gemacht, da dieser nicht mehr erreichbar ist. Ist dies der Fall, wartet der Rechner des Opfers auf ein Datenpaket mit der Empfangsbestätigung (und der richtigen Sequenznummer), wodurch die Vertrauensbeziehung zum Rechner des Angreifers aufgebaut wird.