Mit IP-Spoofing manipulieren Angreifer Datenpakete und legen ganze Betriebe lahm. Jedes zweite Unternehmen in Deutschland ist bereits von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen.
Die Zahl der Cyberangriffe und Datenskandale steigen weiterhin. Dies betrifft sowohl Unternehmen als auch das private Umfeld. Die Verwendung von Endgeräten im Homeoffice verschärft die Problematik. Über Spoofing-Techniken können Hacker über verschiedene Wege den normalen Betrieb stoppen. Welche Methoden verwenden die Angreifer und wie kann man vertrauliche Daten wirkungsvoll schützen?
Was ist IP-Spoofing?
IP-Spoofing ist eine manipulative Technik, bei dem die IP-Adresse des Cyberkriminellen verschleiert wird. Der englische Begriff steht für “Verschleierung” und “Manipulationstechniken” der eigenen Identität.
Hierbei wird die Schwäche des TCP/IP-Protokolls ausgenutzt. Der Angreifer verwendet die Adresse eines vertrauenswürdigen Systems, um seine eigene zu verschleiern. Der Hacker fängt den Datenverkehr als “man in the middle” zwischen zwei oder mehreren Rechnern ab. Er sendet mit den Sequenznummern die Pakete an die Zieladresse.
Die Problematik: Die Quell- und Zieladresse wird nur zu Beginn der Kommunikation authentifiziert. Der Hacker nutzt diese Lücke und “klinkt” sich in die Verbindung ein. Gleichzeitig blockiert das Filtersystem/ die Firewall ausschließlich fremde Daten und greift bei dieser Manipulation nicht.
In den meisten Fällen muss sich der Angreifer hierfür im selben Subnetz befinden (Non-Blind-Spoofing).
IP-Adresse fälschen: Darum funktioniert das Spoofing
Die Hauptursache für DoS- und DDoS-Angriffe liegt in den ungeschützten Headern der Quell- und Zieladresse. Es gibt keine Sicherheitsstufe, die Manipulationen im Header ausfindig macht. Fakt ist, dass der Hacker nicht auf die Daten zugreifen kann, da die Zieladresse gleich bleibt.
Ein Angreifer versteckt sich hinter dem Datenpaket. Bei DoS- und DDoS-Angriffe verschickt man große Datenpakete mit vielen gefälschten IP-Adressen an die Systeme im Netz.
Die Datenpakete werden als Antwort an die Quelladresse – der gehackten IP – zurückgeschickt. Es kommt zu einer Lahmlegung der Server im Netzwerk. Der Hacker bleibt unerkannt.
Wie Angreifer den Drei-Wege-Handschlag überlisten
Der Begriff “Drei-Wege-Handschlag” bzw. “Handshake” bezieht sich auf das mehrstufige Verfahren (TCP/IP), indem zwei Instanzen wechselseitig authentifiziert werden. Es wird eine Verbindung zwischen dem Client und Server hergestellt. Erst nach der Authentifizierung werden die Daten übertragen. Dieses Verfahren ist unzureichend und ermöglicht IP-Spoofing.
Mit diesen drei Methoden überlisten Angreifer das TCP/IP-Verfahren:
Non-Blind Spoofing
Der Angreifer befindet sich im gleichen Subnetz. Er kann die Sequenz- und ACK-Nummern aus den Paketen greifen, ohne sie zu berechnen.
Blind Spoofing
Der Angreifer befindet sich außerhalb des Subnetzes. Diese Form ist deutlich aufwendiger. Der Hacker findet die Sequenznummern heraus, um mit dem Ziel-Rechner zu kommunizieren. Die aktuellen Betriebssysteme erzeugen Zufallsnummern, die deutlich schwerer zu erraten sind. Angreifer, die den Algorithmus (er)kennen, finden die nächsten Sequenznummern. Blind Spoofing kommt zum Glück eher selten vor.
SYN-Flooding
Der typische DoS-Angriff ist das SYN-Flooding (TCP). Der Angreifer überflutet (DoS-Attacke) das Opfer mit vielen SYN-Paketen. Sie können nicht bestätigt werden. Relevante Informationen werden aufgrund der Überlastung nicht mehr bearbeitet. Der “normale” Betrieb bricht zusammen.
Im Prinzip überprüft jede Firewall eingehende Datenpakete. Sobald sich eine interne IP im öffentlichen Netz befindet, handelt es sich um einen Angriff.
Gegenmaßnahmen: So schützt man sich vor IP-Spoofing
- Verwende IPv6: Mit IPv6 sollten IP-Spoofing Angriffe längst der Vergangenheit gehören. Es bietet optionale Authentifizierung und Verschlüsselungsmöglichkeiten im Header der Pakete. Wir haben über die verbesserte Sicherheit von IPv6 berichtet.
- Umfassende Paketfilterung auf Router bzw. Sicherheits-Gateway. Informationen, die Quelladressen innerhalb des Netzwerkes aufweisen, werden analysiert und verworfen. Gleichzeitig filtert man ausgesendete Pakete.
- Log-in-Methoden alle Log-Ins finden über verschlüsselte Verbindungen statt. Es ist ein weiterer Sicherheitsaspekt, der IP-Spoofing-Angriffe verhindert. Man verzichtet am besten auf hostbasierte Authentifizierungsverfahren.
- Ältere Betriebssystem & Netzwerkgeräte laufen mit veralteten Sicherheitsstandards, die ausgetauscht werden können.
- Neuere Firewalls haben einen Anti-Spoofing-Schutz für TCP integriert. Die Sequenznummern werden per Zufall generiert, sodass Vorhersagungen für die nächsten Nummern erschwert sind.
Für Unternehmen: Setzen Sie auf einen Hacker, der noch besser ist, als die Angriffe selbst und dann stellt man ihn am besten ein!