IP-Spoofing
Unter IP Spoofing versteht man den Versand von einem IP-Paket mit gefälschter Absender-IP-Adresse im Kopfteil des Pakets. Ein Angreifer hinterlässt so den Anschein, dass die Aktion von einem anderen (glaubwürdigen) Computer gesendet wurde. IP-adressbasierte Authentifizierungen im Netzwerk können so ausgehebelt werden.
Findet die Kommunikation über TCP statt, so funktioniert Spoofing nur eingeschränkt, weil die Antwort immer wieder an den echten Rechner zurücksendet anstatt an die gefälschte IP-Adresse. Handelt es sich allerdings um ein nicht geswitchtes (Switch) Netzwerk, so kann der Angreifer die Antwortpakete mit Hilfe von Sniffing abfangen. Mit dem Man in the middle attack ist es möglich auch geswitchte Netzwerke abzuhören.
Diese Art von Angriff ist am effektivsten, wenn zwischen den Maschinen in einem Netzwerk Vertrauensbeziehungen bestehen. In manchen Firmennetzen ist es durchaus üblich, dass interne Systeme sich gegenseitig vertrauen, so dass ein Benutzer sich ohne Benutzernamen und Passwort einloggen kann, wenn er von einer anderen internen Maschine auf das Netzwerk zugreift und daher bereits auf einem anderen Rechner eingeloggt ist. Auch wird es oft in zusammenhang mit bounce Attacken verwendet (FTP Bounce).
Quelle: Wikipedia (umgeschrieben von Cyrill Fässler)
Gegenmassnahmen
Paketfilter sind eine mögliche Gegenmaßnahme gegen IP-Spoofing. Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden, deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IP-Adressen von externen Maschinen gespooft werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internetdienstanbietern: Wenn jeder ISP konsequent ausgehende Pakete filtern würde, die laut ihrer Quelladresse nicht aus dem eigenen Netz stammen, wäre massenhaftes IP-Spoofing (häufig in Verbindung mit Denial of Service-Attacken) ein wesentlich geringeres Problem als es heute im Internet ist.
Einige Protokolle auf höheren Schichten stellen eigene Maßnahmen gegen IP-Spoofing bereit. Das Transmission Control Protocol (TCP) (Quelle: Wikipedia) benutzt beispielsweise Sequenznummern, um sicherzustellen, dass ankommende Pakete auch wirklich Teil einer aufgebauten Verbindung sind. Die schlechte Implementierung der TCP-Sequenznummern in vielen älteren Betriebssystemen und Netzwerkgeräten führt jedoch dazu, dass es dem Angreifer unter Umständen möglich ist, die Sequenznummern zu erraten und so den Mechanismus zu überwinden. Alternativ könnte er einen Man-in-the-middle-Angriff (Quelle: Wikipedia) versuchen.
Dass sich ein Wurm aber auch innerhalb eines einzigen UDP-Pakets verbreiten kann, hat im Jahr 2003 SQL Slammer (Quelle: Wikipedia) bewiesen. Dieser benutzte damals kein IP-Spoofing, wäre damit aber wahrscheinlich besser durch Firewalls mit Anti-Spoofing-Funktionalität gekommen.
Hätte eine Firewall z. B. eine Regel, die den MS-SQL-Dienst (UDP Port 1433) von einer IP-Adresse A.A.A.A zu B.B.B.B erlaubt, müsste der Wurm auf dem Rechner C.C.C.C seine eigene Absender-Adresse nur auf A.A.A.A fälschen um die Firewall zu passieren. Da nur ein einziges Paket notwendig ist und das User Datagram Protocol (UDP) keinen Zustand hat, würde auch eine Stateful Firewall keinen Schutz bieten.
Sicherheits-Implikationen
IP-Spoofing lässt sich für sich genommen nur beschränkt zum Einbruch in andere Systeme benutzen, da alle Antwortpakete des angegriffenen Rechners an die gefälschte Adresse gesendet werden. Umgekehrt lässt sich dieses Verhalten jedoch auch als „Waffe“ benutzen, wenn mit gespooften Paketen SYN-Flooding (Quelle: Wikipedia) betrieben wird; hierzu sendet man gefälschte Pakete an bestimmte Rechner, und die Antwortpakete landen bei dem als Quelladresse angegebenen Opfer, dessen Verbindung dadurch möglicherweise lahmgelegt wird. Die Identität des tatsächlichen Angreifers ist dabei nur schwer feststellbar, da die Quelle der Antwortpakete natürlich der vorher überrumpelte arglose Rechner ist.
