Was ist IP-Spoofing?

IP-Adresse fälschen: Darum funktioniert das Spoofing

Die Hauptursache für DoS- und DDoS-Angriffe liegt in den ungeschützten Headern der Quell- und Zieladresse. Es gibt keine Sicherheitsstufe, die Manipulationen im Header ausfindig macht. Fakt ist, dass der Hacker nicht auf die Daten zugreifen kann, da die Zieladresse gleich bleibt.

Ein Angreifer versteckt sich hinter dem Datenpaket. Bei DoS- und DDoS-Angriffe verschickt man große Datenpakete mit vielen gefälschten IP-Adressen an die Systeme im Netz.

Die Datenpakete werden als Antwort an die Quelladresse – der gehackten IP – zurückgeschickt. Es kommt zu einer Lahmlegung der Server im Netzwerk. Der Hacker bleibt unerkannt.

Wie Angreifer den Drei-Wege-Handschlag überlisten

Der Begriff “Drei-Wege-Handschlag” bzw. “Handshake” bezieht sich auf das mehrstufige Verfahren (TCP/IP), indem zwei Instanzen wechselseitig authentifiziert werden. Es wird eine Verbindung zwischen dem Client und Server hergestellt. Erst nach der Authentifizierung werden die Daten übertragen. Dieses Verfahren ist unzureichend und ermöglicht IP-Spoofing.

Mit diesen drei Methoden überlisten Angreifer das TCP/IP-Verfahren:

Non-Blind Spoofing

Der Angreifer befindet sich im gleichen Subnetz. Er kann die Sequenz- und ACK-Nummern aus den Paketen greifen, ohne sie zu berechnen.

Blind Spoofing

Der Angreifer befindet sich außerhalb des Subnetzes. Diese Form ist deutlich aufwendiger. Der Hacker findet die Sequenznummern heraus, um mit dem Ziel-Rechner zu kommunizieren. Die aktuellen Betriebssysteme erzeugen Zufallsnummern, die deutlich schwerer zu erraten sind. Angreifer, die den Algorithmus (er)kennen, finden die nächsten Sequenznummern. Blind Spoofing kommt zum Glück eher selten vor.

SYN-Flooding

Der typische DoS-Angriff ist das SYN-Flooding (TCP). Der Angreifer überflutet (DoS-Attacke) das Opfer mit vielen SYN-Paketen. Sie können nicht bestätigt werden. Relevante Informationen werden aufgrund der Überlastung nicht mehr bearbeitet. Der “normale” Betrieb bricht zusammen.

Im Prinzip überprüft jede Firewall eingehende Datenpakete. Sobald sich eine interne IP im öffentlichen Netz befindet, handelt es sich um einen Angriff.

Gegenmaßnahmen: So schützt man sich vor IP-Spoofing

1. Verwende IPv6: Mit IPv6 sollten IP-Spoofing Angriffe längst der Vergangenheit gehören. Es bietet optionale Authentifizierung und Verschlüsselungsmöglichkeiten im Header der Pakete. Wir haben über die verbesserte Sicherheit von IPv6 berichtet.
2. Umfassende Paketfilterung auf Router bzw. Sicherheits-Gateway. Informationen, die Quelladressen innerhalb des Netzwerkes aufweisen, werden analysiert und verworfen. Gleichzeitig filtert man ausgesendete Pakete.
3. Log-in-Methoden alle Log-Ins finden über verschlüsselte Verbindungen statt. Es ist ein weiterer Sicherheitsaspekt,  der IP-Spoofing-Angriffe verhindert. Man verzichtet am besten auf hostbasierte Authentifizierungsverfahren.
4. Ältere Betriebssystem & Netzwerkgeräte laufen mit veralteten Sicherheitsstandards, die ausgetauscht werden können.
5. Neuere Firewalls haben einen Anti-Spoofing-Schutz für TCP integriert. Die Sequenznummern werden per Zufall generiert, sodass Vorhersagungen für die nächsten Nummern erschwert sind.

Für Unternehmen:  Setzen Sie auf einen Hacker, der noch besser ist, als die Angriffe selbst und dann stellt man ihn am besten ein!