Folge uns

Folge uns auf Facebook Folge uns auf Twitter Folge uns auf Google Abonniere unseren RSS-Feed Abonniere unseren Newsletter

Das Buch zu dieser Webseite

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel

Käufer der Netzwerktechnik-Fibel Kundenmeinung:
Die Netzwerktechnik-Fibel ist sehr informativ und verständlich. Genau das habe ich schon seit langem gesucht.

Netzwerktechnik-Fibel
jetzt bestellen!

 

Die Netzwerktechnik-Fibel ist im iBookstore erhältlich

Die Netzwerktechnik-Fibel für Amazon Kindle erhältlich

Die Netzwerktechnik-Fibel bei Google Play erhältlich

Netzwerktechnik-Fibel als PDF-Datei ohne DRM

Das Buch zu dieser Webseite

KommunikationstechnikFibel

Die Kommunikationstechnik-Fibel

Käufer der Kommunikationstechnik-Fibel Kundenmeinung:
Die Kommunikationstechnik-Fibel ist sehr informativ und verständlich. Genau das habe ich schon seit langem gesucht. Endlich mal ein Buch, das kurz und bündig die moderne Informationstechnik beleuchtet.

Kommunikationstechnik-Fibel
jetzt bestellen!

 

Die Kommunikationstechnik-Fibel ist im iBookstore erhältlich

Die Kommunikationstechnik-Fibel für Amazon Kindle erhältlich

Kommunikationstechnik-Fibel als eBook von Google Play Store

Kommunikationstechnik-Fibel als PDF-Datei ohne DRM

IP-Spoofing

IP-Spoofing zählt zu den Man-in-the-Middle-Angriffen. IP-Spoofing ist wegen einer systembedingten Schwäche von TCP/IP möglich. Im Prinzip geht es dabei um das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse.
IP-Spoofing mit Man-in-the-Middle
Mit dieser Methode verbergen Angreifer ihre Identität und um gleichzeitig Zugriff auf einen geschützten Rechner zu erhalten. Dabei täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, denen der angegriffene Rechner vertraut.

Warum IP-Spoofing möglich ist

Der IP-Header beinhaltet eine Quell- und eine Ziel-IP-Adresse. Es gibt leider keinerlei Mechanismen, die diese Angaben verschlüsseln oder vor Manipulation schützen. Außerdem gibt es keinen Mechanismus, mit dem man die Angaben im IP-Header auf Korrektheit prüfen kann. Das bedeutet, jedes IP-Paket kann beliebig manipuliert werden. Der Empfänger eines Datenpakets muss praktisch darauf vertrauen, dass das Paket tatsächlich von dem Absender der IP-Adresse stammt.
Kern des Problems ist die Sequenznummer, die ein TCP-Paket kennzeichnet. Befindet sich der Angreifer innerhalb des Kommunikationswegs zwischen den beiden Teilnehmern, dann kann er die nächsten Sequenznummern vorhersagen und sich in die Kommunikation zweier Stationen einklinken (Session Hijacking).
Der Grund, warum das möglich ist, ist dass die beiden Teilnehmer sich nur am Anfang der Kommunikation gegenseitig authentifizieren. Danach gehen sie davon aus, dass sie mit der richtigen Gegenstelle kommunizieren. Tritt ein Angreifer an die Stelle eines der beiden Teilnehmer, bleibt das unbemerkt.
Damit das Eindringen in ein System per IP-Spoofing gelingt, muss das System zusätzliche Sicherheitslücken aufweisen.
Mit IP-Spoofing lässt sich also keine normale Internet-Verbindung aufbauen. Anonymisierung ist per IP-Spoofing nicht möglich.

Non-Blind Spoofing

Hierbei muss sich der Angreifer im gleichen Subnetz befinden, wie das Opfer. Dabei macht sich der Angreifer die Tatsache zu Nutze, dass die IP-Pakete aus dem gleichen Subnetz auf alle Fälle bei ihm vorbei kommen. Anstatt sie zu verwerfen, greift er sie sich einfach heraus.

Blind Spoofing

Beim Blind Spoofing befindet sich der Angreifer außerhalb des Subnetzes des Opfers. Diese Form des Angriffs ist deshalb um einiges aufwändiger. Diese Angriffsart ist daher eher selten.
Beim Blind Spoofing schickt der Angreifer einfach Pakete an das Opfer, um dabei aus den Empfangsbestätigungen Sequenznummer zu sammeln, um die nächsten Sequenznummern vorhersagen zu können.

SYN-Flooding

In der Regel schert sich der Angreifer bei DoS-Attacken nicht um die Einhaltung von Protokoll-Regeln. Das Opfer soll nur mit einer möglichst großen Zahl an Paketen überflutet werden. Hier wird IP-Spoofing eingesetzt, damit die eigentlich angreifenden Rechner nicht ohne weiteres aufgespürt werden können.

Ein typischer DoS-Angriff per IP-Spoofing ist das SYN-Flooding (TCP). Hierbei sendet der Angreifer ein SYN an das Opfer. Verwendet allerdings eine gefälschte Quell-IP-Adresse (IP-Spoofing). Das ACK des Opfers kommt aber nie an. Die Verbindung beim Opfer bleibt aber trotzdem noch eine Zeit lang offen. Der Angreifer überflutet (DoS-Attacke) jetzt das Opfer mit weiteren SYN-Paketen, die alle nicht bestätigt werden können und geöffnete Verbindungen hinterlassen. Irgendwann kann das Opfer keine weiteren Verbindungen mehr annehmen und ist somit auch für andere Stationen nicht mehr erreichbar.

Diese Art von Angriffen versucht man mit einer vorgeschalteten Firewall zu erkennen und zu blocken. Die dazu erforderliche Gegenmaßnahme ist denkbar einfach. Die Firewall überprüft die eingehenden Datenpakete, ob deren IP-Adressen aus dem internen Netz stammen. Dann muss man mit Sicherheit von einem Angriffsversuch ausgehen. Denn die internen IP-Adressen befinden sich im lokalen Netz, nicht im öffentlichen Netz.

Die umgekehrte Maßnahme, als IP-Spoofing aus dem eigenen Netz zu verhindern, ist die, nur die Pakete weiterzugeben, die mit einer Quell-IP-Adresse aus dem eigenen Netz versehen sind.

Weitere verwandte Themen:

Die Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist im iBookstore erhältlich Die Netzwerktechnik-Fibel für Amazon Kindle erhältlich