Spoofing

Als Spoofing bezeichnet man das Vortäuschen falscher Tatsachen. In der Netzwerktechnik verwendet man den Begriff Spoofing dann, wenn ein Angreifer im Netzwerk mit Absicht eine falsche Adresse verwendet. Beispielsweise, um sich für jemanden auszugeben, der er nicht ist. Prüft der Kommunikationspartner nicht dessen Identität, dann kommuniziert er unter Umständen mit einer anderen Person als angenommen. Ein Angreifer nutzt Spoofing entweder um Datenpakete abzufangen oder seine eigene Identität zu verschleiern.
Immer dann, wenn sich die Kommunikationsteilnehmer gegenseitig nicht authentifizieren und die Datenpakete unverschlüsselt übertragen, dann ist Spoofing möglich.

ARP-Spoofing

Beim ARP-Spoofing gibt der Angreifer seine eigene MAC-Adresse als die eines anderen Endgeräts aus. ARP-Spoofing ist allerdings nur dann möglich, wenn sich der Angreifer im selben lokalen Netzwerk befindet.
ARP-Spoofing eignet sich dazu, um als Angreifer eine Position als Man-in-the-Middle einzunehmen. Dabei ist der Angreifer in der Lage den gesamten Datenverkehr eines Zielsystems mitzuschneiden und gegebenenfalls zu manipulieren.

IP-Spoofing

IP-Spoofing ist ein Angriff, bei dem der Angreifer IP-Pakete generiert, in denen eine falsche Absender-IP-Adressen angegeben ist. Zum Abhören eignet sich IP-Spoofing nicht, weil die Antwort-Pakete an einen anderen Empfänger gehen. Aber genau das kann gewünscht sein. Zum Beispiel um einen Server mit unsinnigen Datenpaketen zu beschäftigen und einen DDoS zu provozieren. Mit IP-Spoofing ist auch DNS-Spoofing möglich.

DNS-Spoofing

Es gibt verschiedene Varianten von DNS-Spoofing. Im Prinzip geht es jedoch immer darum, dass der Angreifer Verbindungsaufnahmen vom eigentlichen Server auf einen eigenen Server umleitet. Diese Gefahr besteht deshalb, weil die Weiterleitungen von DNS-Anfragen unverschlüsselt erfolgen und damit leicht manipulierbar sind.
Bei der einfachsten Art des DNS-Spoofings liefert der Angreifer auf eine DNS-Anfrage eine falsche IP-Adresse. Der Client bekommt dann eine falsche IP-Adresse, die auf einen Server verweist, der sich unter der Kontrolle des Angreifers befindet. Der Angreifer kann dann zum Beispiel die ursprüngliche Webseite fälschen, um vom Nutzer Zugangsdaten abzufragen. Wenn die Fälschung gut ist, wird der Nutzer keinen Verdacht schöpfen.

Eine andere Möglichkeit des DNS-Spoofings besteht darin, dass der Angreifer an einen DNS-Server eine DNS-Anfrage stellt. Wenn dieser DNS-Server die Anfrage nicht beantworten kann dann muss er sie an einen zweiten DNS-Server weiterleiten, der sie vielleicht beantworten kann. Wenn es dem Angreifer gelingt, der Antwort des zweiten DNS-Servers zuvorzukommen, kann er eine beliebige IP-Adresse dem ersten DNS-Server unterschieben, der daraufhin alle DNS-Anfragen mit der falschen IP-Adresse beantwortet.
So einfach ist das allerdings nicht, weil innerhalb der DNS-Protokoll-Nachrichten mit Query-IDs gearbeitet wird, die der Angreifer wissen muss. Der DNS-Server nimmt dann nur die DNS-Antworten mit der richtigen Query-ID an.
Damit der erste DNS-Server die DNS-Antwort des Angreifers annimmt muss der Angreifer die 16 Bit lange Query-ID aus der Anfrage vom ersten zum zweiten DNS-Server erraten. Der Angreifer kann natürlich mehrere Antworten mit unterschiedlichen Query-IDs abschicken, in der Hoffnung, dass eine davon angenommen wird.

Mail-Spoofing (mit Social Engineering)

Beim Mail-Spoofing verwendet der Angreifer eine fremde E-Mail-Adresse. Typischerweise machen das Spam-Versender, um ihre wahre Identität zu verschleiern. Als normaler E-Mail-Nutzer hat man diese Möglichkeit nicht. Eine E-Mail mit einer falschen Absender-Adresse kann man nur verschicken, wenn man einen eigenen Mail-Server betreibt oder einen fremden Mail-Server für das Mail-Spoofing missbraucht. Solche versendeten E-Mails gelten in der Regel als Spam-verdächtig. Deshalb versuchen Spammer fremde Rechner unter ihre Kontrolle zu bringen, um von dort E-Mails im Namen und der Adresse dessen Nutzers Spam zu versenden.

In einem anderen Szenario geben sich Betrüger in einer E-Mail mit einer falscher Identität als Vorgesetzter, Anwalt des Unternehmens oder auch als Mitarbeiter vertrauenswürdiger Geschäftspartner aus. Dabei gehen die Täter meist umsichtig vor und suchen sich als Ziel einen arglosen Mitarbeiter mit Finanzverantwortung aus.
In einer E-Mail veranlassen sie das Opfer zu hohen Überweisungen vom Geschäftskonto. Nicht nur die gefälschte E-Mail-Adresse, sondern auch eine aufs Unternehmen angepasste Wortwahl der Anweisung, lassen eine Bitte um schnelle Überweisung des Geldes echt erscheinen. Ist der Betrag erst einmal transferiert, ist er nicht mehr rückholbar.

Technisch lässt sich eine Absender-Adresse in einer E-Mail willkürlich festgelegen. Deshalb sind E-Mails, auch von bekannten Personen, grundsätzlich nicht vertrauenswürdig. Weiterhin sollte man E-Mails, die etwas mit hoher Dringlichkeit anfordern (Geld, Dokumente, etc.), generell mit Skepsis begegnen. Mit einem Prüfanruf sollte man immer die Echtheit prüfen, bevor man Dinge veranlasst, die sich nicht mehr rückgängig machen lassen. Unternehmen, bei denen keine abgesprochenen Routinen für eine mehrfache Authentifizierung des Gegenübers existieren, sind besonders anfällig.

URL-Spoofing

Beim URL-Spoofing nutzt der Angreifer das URL-Rewriting, bei dem er die eigentliche Anfrage auf eine andere URL umleitet und so dem Internet-Nutzer eine falsche Adresse unterschiebt.
Das URL-Rewriting ist ein gängige Methode, um Inhalte von Webseiten unter unterschiedlichen URLs verfügbar zu machen.
Das URL-Spoofing lässt sich nur dadurch verhindern, in dem man den eigenen Browser so konfiguriert, dass er HTTP-Weiterleitungen nicht automatisch vornimmt.

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!