IP-Spoofing: Wie Angreifer Ihre Datenpakete manipulieren

IP-Spoofing: Grundlagen und Gegenmaßnahmen

Unabhängig davon, ob Sie in Ihrer Freizeit im Internet surfen oder für ein lokales Netzwerk verantwortlich sind, ist es wichtig, dass Sie sich vor unbefugtem Zugriff und Angriffen schützen, die Ihr System erheblich beschädigen können. Seit Jahrzehnten finden Cyberkriminelle verschiedene Methoden , um Zugang zu externen Computersystemen zu erhalten , wodurch Schäden in kleinem und großem Maßstab verursacht werden. Wenn die Eindringlinge Profis sind und über die erforderlichen Tools verfügen, weiß der Benutzer nichts über den Angriff selbst. Auf der anderen Seite wissen viele Cyberkriminelle , wie sie ihre Spuren löschen können , was es fast unmöglich macht, den Ursprung von Angriffen mit gewöhnlichen Mitteln zu bestimmen. Eine der bevorzugten Techniken für diese Zwecke ist das sogenannte Spoofing (auf Spanisch Manipulation oder Identitätswechsel) und war 1980 und in seiner ursprünglichen Form IP-Spoofing bereits ein Gesprächsthema in Fachkreisen.

Was ist IP-Spoofing?

Das sogenannte IP-Spoofing ist eine Technik, bei der TCP / IP- oder UDP / IP -Datenpakete mit einer falschen Absenderadresse gesendet werden . Um seine eigenen Pakete in ein externes System einzuspeisen, verwendet der Angreifer die Adresse eines autorisierten und vertrauenswürdigen Systems, das andernfalls von einem Filtersystem blockiert würde. In den meisten Fällen wird IP-Spoofing verwendet, um DoS- und DDoS-Angriffe durchzuführen. Unter bestimmten Umständen kann der Angreifer jedoch auch den IP-Verkehr zwischen zwei oder mehr Computersystemen abfangen und manipulieren. Diese Arten von Angriffen werden als Mann in der Mitte bezeichnet und erfordern wie IP-Spoofing (mit nur wenigen Ausnahmen), dass sich der Angreifer im selben Subnetz wie das Opfer befindet.

Der Grund für IP-Spoofing ist Spoofing

Ein Identitätswechsel der IP-Adresse ist möglich, da die Quell- und Zieladressen, die jedes IP-Paket in seinem Header enthält, nicht ausreichend vor Manipulationen geschützt sind. Leider gibt es keine Mechanismen, um diese Informationen zu verschlüsseln oder ihre Richtigkeit zu überprüfen. Bei einem einfachen IP-Spoofing-Angriff erhält der Angreifer jedoch keinen Zugriff auf den Datenverkehr. Das heißt, es kann nur die Adresse im entsprechenden Paket geändert werden, während die tatsächliche IP-Adresse unverändert bleibt . Somit erreicht die Antwort mit den ausgegebenen Daten nicht den Angreifer, sondern die Adresse des von ihm eingegebenen Computers.

Das System, das die Anforderung empfängt, kann nicht erkennen, dass sich hinter dem IP-Paket ein nicht autorisierter Dritter befindet, was IP-Spoofing für die oben genannten DoS- und DDoS-Angriffe nützlich macht . Insbesondere sind folgende zwei Szenarien möglich:

  1. Basierend auf der Quelladresse sendet der Angreifer viele Datenpakete an verschiedene Systeme innerhalb des jeweiligen Netzwerks. Sie antworten, indem sie ein Datenpaket an den Computer senden, dessen Adresse missbraucht wurde.
  2. Ein Zielhost empfängt viele Datenpakete von mehreren gefälschten IP-Adressen gleichzeitig und ist daher überlastet.

Computer, deren IP-Adressen gefälscht wurden, können zu Zielen für DDoS-Angriffe werden oder als Werkzeug für sie dienen. In beiden Fällen ist es nicht möglich, die Angreifer zu identifizieren , da die gesendeten Pakete offiziell von den Computern stammen, deren IP-Adressen gefälscht wurden .

Wie umgehen Angreifer selbst das Problem eines koordinierten Angriffs?

Ein Angreifer kann absichtlich von überall aus eine Überlastung verursachen, solange der Zielcomputer mit dem Internet verbunden ist. Ein direkter Zugriff auf den Datenverkehr ist jedoch schwierig, wenn sich der Eindringling nicht im selben Subnetz befindet. Dies liegt daran, dass das Abfangen eines Datenpakets nur möglich ist, wenn Sie die Sequenznummer dieses Pakets haben, was extern im Vergleich zu anderen Zeiten heute fast unmöglich ist.

In der Vergangenheit haben Betriebssysteme und Netzwerkgeräte diesen TCP-Header basierend auf einem Muster ohne größere Änderungen generiert. Auf diese Weise konnten die Angreifer problemlos mehrere Pakete an das Zielsystem senden und dank des Empfangs die nachfolgende Sequenznummer vorhersagen . Sie könnten auch das Paket hinter der Nummer lesen oder manipulieren und es unter Verwendung der gefälschten IP-Adresse weiterleiten, ohne dass es von den Systemen im Kommunikationsprozess registriert werden kann. Da viele Systeme den hostbasierten Anmeldevorgang verwendeten und Anmeldedaten wie Benutzername und Kennwörter unverschlüsselt übertragen, konnte der Angreifer hoffentlich problemlos eine Verbindung herstellen. Da derzeit Sequenznummern zufällig generiert werden, sind sogenannte TCP Sequence Prediction-Angriffe (TCP Sequence Prediction) grundsätzlich ineffektiv, sodass alte Geräte weiterhin gefährdet sind. 

Wenn sich der IP-Spoofer in demselben Subnetz bewegt, z. B. im selben lokalen Netzwerk wie das angegriffene System, haben Sie eine bessere Chance, einfach auf die Sequenznummer oder die dahinter stehenden IP-Pakete zuzugreifen. Anstatt ein langwieriges Verfahren zu verwenden, kann es den Verkehr filtern, analysieren und die gewünschten Datenpakete auswählen . In diesem Fall sprechen wir von nicht blindem Spoofing.

So schützen Sie sich vor IP-Spoofing

Seit Jahrzehnten beschäftigen sich Sicherheitsexperten und Fachleute der Computerindustrie mit dem Problem des IP-Spoofing. Dies ist hauptsächlich auf die Leichtigkeit zurückzuführen, mit der mit dieser Methode des IP-Spoofing Denial-of-Service- oder DDoS-Angriffe generiert werden können . Daher ist seit langem eine spezifische Filterung des ausgehenden Datenverkehrs durch Internetanbieter erforderlich, bei der Pakete mit Quelladressen außerhalb des Netzwerks gesammelt und verworfen werden. Leider sind Aufwand und Kosten die Hauptgründe, warum diese Anwendung bisher als solche erhalten geblieben ist, ohne dass es jemandem gelungen ist, sie zu implementieren.  

Ein weiterer Grund für die Zurückhaltung der Internetanbieter sind die offensichtlichen Sicherheitsmerkmale der neuesten Version des IPv6-Internetprotokolls. Der offizielle Nachfolger des derzeit weit verbreiteten IPv4 umfasst unter anderem mehrere optionale Authentifizierungs- und Verschlüsselungsoptionen für Datenpaket-Header , die in Zukunft IP-Spoofing vollständig verhindern könnten. Bisher hat sich die Umstellung auf das neue Adressierungsprotokoll jedoch als etwas kompliziert erwiesen, was sich beispielsweise in der fehlenden IPv6-Unterstützung für verschiedene gängige Netzwerkgeräte äußert.

Um zu verhindern, dass ein Angreifer Ihre IP-Adresse fälscht und für skrupellose Zwecke verwendet, können Sie die Initiative ergreifen, indem Sie Ihre eigenen Schutzmechanismen erstellen. Wir empfehlen Ihnen daher, sich auf die folgenden zwei Maßnahmen zu konzentrieren:

  • Richten Sie eine umfassende Paketfilterlösung für Ihren Router ein . Dies ist verantwortlich für die Analyse und das Verwerfen der Pakete, deren Quelladressen nicht aus dem Netzwerk selbst stammen. Sie müssen sich sogar darum kümmern, ausgehende Pakete mit Absenderadressen zu filtern , die sich außerhalb Ihres Netzwerks befinden, obwohl Sicherheitsexperten dies in diesem Sinne als Pflicht des Dienstanbieters betrachten.
  • Halten Sie sich von hostbasierten Authentifizierungsmethoden fern . Stellen Sie sicher, dass alle Eincheckmethoden über verschlüsselte Verbindungen erfolgen. Auf diese Weise minimieren Sie das Risiko eines IP-Spoofing-Angriffs in Ihrem Netzwerk und setzen wichtige Sicherheitsstandards. 

Andererseits ist es auch ratsam, ältere Betriebssysteme und Netzwerkgeräte zu ersetzen (falls Sie diese noch verwenden). Auf diese Weise erhöhen Sie nicht nur Ihren Schutz vor IP-Spoofing, sondern schützen sich auch vor vielen anderen Sicherheitslücken.

administrator

Leave a Reply

Your email address will not be published.