IP-Spoofing

IP-Spoofing zählt zu den Man-in-the-Middle-Angriffen. IP-Spoofing ist wegen einer systembedingten Schwäche von TCP/IP möglich. Im Prinzip geht es dabei um das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse.
IP-Spoofing mit Man-in-the-Middle
Mit dieser Methode verbergen Angreifer ihre Identität und um gleichzeitig Zugriff auf einen geschützten Rechner zu erhalten. Dabei täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, denen der angegriffene Rechner vertraut.

Warum IP-Spoofing möglich ist

Der IP-Header beinhaltet eine Quell- und eine Ziel-IP-Adresse. Es gibt leider keinerlei Mechanismen, die diese Angaben verschlüsseln oder vor Manipulation schützen. Außerdem gibt es keinen Mechanismus, mit dem man die Angaben im IP-Header auf Korrektheit prüfen kann. Das bedeutet, jedes IP-Paket kann beliebig manipuliert werden. Der Empfänger eines Datenpakets muss praktisch darauf vertrauen, dass das Paket tatsächlich von dem Absender der IP-Adresse stammt.
Kern des Problems ist die Sequenznummer, die ein TCP-Paket kennzeichnet. Befindet sich der Angreifer innerhalb des Kommunikationswegs zwischen den beiden Teilnehmern, dann kann er die nächsten Sequenznummern vorhersagen und sich in die Kommunikation zweier Stationen einklinken (Session Hijacking).
Der Grund, warum das möglich ist, ist dass die beiden Teilnehmer sich nur am Anfang der Kommunikation gegenseitig authentifizieren. Danach gehen sie davon aus, dass sie mit der richtigen Gegenstelle kommunizieren. Tritt ein Angreifer an die Stelle eines der beiden Teilnehmer, bleibt das unbemerkt.
Damit das Eindringen in ein System per IP-Spoofing gelingt, muss das System zusätzliche Sicherheitslücken aufweisen.
Mit IP-Spoofing lässt sich also keine normale Internet-Verbindung aufbauen. Anonymisierung ist per IP-Spoofing nicht möglich.

Non-Blind Spoofing

Hierbei muss sich der Angreifer im gleichen Subnetz befinden, wie das Opfer. Dabei macht sich der Angreifer die Tatsache zu Nutze, dass die IP-Pakete aus dem gleichen Subnetz auf alle Fälle bei ihm vorbei kommen. Anstatt sie zu verwerfen, greift er sie sich einfach heraus.

Blind Spoofing

Beim Blind Spoofing befindet sich der Angreifer außerhalb des Subnetzes des Opfers. Diese Form des Angriffs ist deshalb um einiges aufwändiger. Diese Angriffsart ist daher eher selten.
Beim Blind Spoofing schickt der Angreifer einfach Pakete an das Opfer, um dabei aus den Empfangsbestätigungen Sequenznummer zu sammeln, um die nächsten Sequenznummern vorhersagen zu können.

SYN-Flooding

In der Regel schert sich der Angreifer bei DoS-Attacken nicht um die Einhaltung von Protokoll-Regeln. Das Opfer soll nur mit einer möglichst großen Zahl an Paketen überflutet werden. Hier wird IP-Spoofing eingesetzt, damit die eigentlich angreifenden Rechner nicht ohne weiteres aufgespürt werden können.

Ein typischer DoS-Angriff per IP-Spoofing ist das SYN-Flooding (TCP). Hierbei sendet der Angreifer ein SYN an das Opfer. Verwendet allerdings eine gefälschte Quell-IP-Adresse (IP-Spoofing). Das ACK des Opfers kommt aber nie an. Die Verbindung beim Opfer bleibt aber trotzdem noch eine Zeit lang offen. Der Angreifer überflutet (DoS-Attacke) jetzt das Opfer mit weiteren SYN-Paketen, die alle nicht bestätigt werden können und geöffnete Verbindungen hinterlassen. Irgendwann kann das Opfer keine weiteren Verbindungen mehr annehmen und ist somit auch für andere Stationen nicht mehr erreichbar.

Diese Art von Angriffen versucht man mit einer vorgeschalteten Firewall zu erkennen und zu blocken. Die dazu erforderliche Gegenmaßnahme ist denkbar einfach. Die Firewall überprüft die eingehenden Datenpakete, ob deren IP-Adressen aus dem internen Netz stammen. Dann muss man mit Sicherheit von einem Angriffsversuch ausgehen. Denn die internen IP-Adressen befinden sich im lokalen Netz, nicht im öffentlichen Netz.

Die umgekehrte Maßnahme, als IP-Spoofing aus dem eigenen Netz zu verhindern, ist die, nur die Pakete weiterzugeben, die mit einer Quell-IP-Adresse aus dem eigenen Netz versehen sind.