IP-Spoofing: Funktionsweise und Maßnahmen zur Prävention

Spoofing ist eine spezielle Art des Cyberangriffs, bei dem ein Computer, ein Gerät oder ein Netzwerk missbraucht werden, um anderen Computernetzwerken vorzugaukeln, dass es sich um eine seriöse Einheit handelt. Letztendlich geht es wie bei den meisten Hacker-Tools darum, sich Zugang zu einem Computer zu verschaffen, diesen nach vertraulichen Daten zu durchsuchen, in einen Zombie zu verwandeln (ein zu schädlichen Zwecken vereinnahmter Computer) oder Denial-of-Service-Angriffe (DoS) zu lancieren. Von den verschiedenen Arten des Spoofing ist das IP-Spoofing am weitesten verbreitet.

Was ist IP-Spoofing?

Als IP-Spoofing oder IP-Adressen-Spoofing bezeichnet man das Versenden von Datenpaketen mit einer gefälschten Quelladresse, um deren eigentliche Herkunft zu verschleiern. Mit IP-Spoofing können Cyberkriminelle oft völlig unentdeckt ihre Unwesen treiben. Sie stehlen zum Beispiel Ihre Daten, infizieren Ihr Gerät mit Malware oder bringen Ihren Server zum Absturz.

Funktionsweise des IP-Spoofing

Lassen Sie uns zunächst mit einigen Hintergrundinformationen beginnen: Daten, die über das Internet übertragen werden, werden zunächst in viele kleine Pakete aufgeteilt, die dann unabhängig voneinander gesendet und am Ende wieder zusammengesetzt werden. Jedes Paket hat einen IP-Header (Internet Protocol), der Paketinformationen wie die Quell- und Ziel-IP-Adresse enthält.

Beim IP-Spoofing verändert ein Hacker mit Hilfe von Tools die Quelladresse im Header des Pakets, so dass das empfangende Computersystem glaubt, das Paket stamme von einer vertrauenswürdigen Quelle, z. B. einem anderen Computer in einem seriösen Netzwerk, und es akzeptiert. Da sich dieser Vorgang auf Netzwerkebene abspielt, gibt es keine äußeren Anzeichen für eine Manipulation.

In Systemen, die auf Vertrauensbeziehungen zwischen vernetzten Computern beruhen, können Hacker damit die Authentifizierung der IP-Adresse umgehen. Beim klassischen "Castle and Moat"-Sicherheitskonzept wird jeder außerhalb des Netzwerks als Bedrohung angesehen, während alle innerhalb der "Burg" als vertrauenswürdig gelten. Ist ein Hacker erst einmal in das Netzwerk eingedrungen, kann er sich ungehindert umschauen. Um diese Schwachstelle auszumerzen, wird die einfache Authentifizierung mittlerweile durch robustere Sicherheitsansätze ersetzt, z. B. durch eine Authentifizierung in mehreren Stufen.

Obwohl IP-Spoofing häufig von Cyberkriminellen missbraucht wird, um Online-Betrug und Identitätsdiebstahl zu begehen oder Webseiten und Server von Unternehmen lahmzulegen, gibt es auch durchaus legitime Anwendungsfälle. So setzen Unternehmen IP-Spoofing ein, um Webseiten zu testen, bevor sie online geschaltet werden. Dazu müssten Tausende von virtuellen Nutzern angelegt werden, um zu testen, ob die Webseite eine große Zahl von Anmeldungen bewältigen kann, ohne unter der Last zusammenzubrechen. In diesem Fall ist IP-Spoofing durchaus legitim.

Arten von IP-Spoofing

Die drei häufigsten Formen von IP-Spoofing-Angriffen:

DDoS-Angriffe (Distributed Denial-of-Service)

Bei einem DDoS-Angriff geht es darum, einen Computerserver mit Massen von Datenpaketen von gefälschten IP-Adressen zu überschwemmen. Damit soll die Webseite oder das betroffene Netzwerk durch den immensen Internetverkehr ausgebremst oder zum Absturz gebracht werden, ohne dass nachvollzogen werden kann, wer dahinter steckt.

Maskierung von Botnet-Geräten

IP-Spoofing kann auch eingesetzt werden, um einen Botnet-Angriff zu verschleiern. Ein Botnet ist ein Netzwerk von Computern, das von Hackern von einem zentralen Punkt aus von kontrolliert wird. Auf jedem Computer läuft ein spezieller Bot, der schädliche Aktivitäten für den Angreifer ausführt. Mithilfe des IP-Spoofing können die Angreifer das Botnet verschleiern, da jeder Bot im Netzwerk mit einer gefälschten IP-Adresse versehen wird und man an die dahinter stehenden Schadakteure kaum mehr herankommt. So können Hacker die Angriffsdauer verlängern und ihren Gewinn maximieren.

Man-in-the-Middle-Angriffe

Im Zusammenhang mit "Man-in-the-Middle"-Angriffen wird IP-Spoofing dazu verwendet, die Kommunikation zwischen zwei Computern zu unterbrechen, die Datenpakete zu verändern und ohne Wissen des ursprünglichen Absenders oder Empfängers weiterzuleiten. Wenn Angreifer durch Fälschen der IP-Adresse Zugang zu persönlichen Kommunikationskonten erhalten, können sie alles mitverfolgen, was über diesen Kanal ausgetauscht wird. Auf dieser Grundlage können sie zum Beispiel Informationen abgreifen, Benutzer auf gefälschte Websites leiten und vieles mehr. Im Laufe der Zeit sammeln die Hacker eine Fülle vertraulicher Informationen, die sie entweder selbst nutzen oder weiterverkaufen können – was Man-in-the-Middle-Angriffe zu einer sehr lukrativen Einnahmequelle macht.

Beispiele für IP-Spoofing

Eines der am häufigsten genannten Beispiele für IP-Spoofing ist der DDoS-Angriff von GitHub im Jahr 2018. GitHub ist eine Code-Hosting-Plattform, die im Februar 2018 von dem vermutlich größten DDoS-Angriff aller Zeiten betroffen war. In einer konzertierten Aktion gelang es den Angreifern mit massenhaft gefälschten IP-Adressen, den Dienst von GitHub für fast 20 Minuten lahmzulegen. Um den Angriff zu stoppen und das System wieder unter Kontrolle zu bringen, musste GitHub den Datenverkehr über einen zwischengeschalteten Partner umleiten und die Daten bereinigen.

Bei einem weiter zurückliegender Fall im Jahr 2015 musste Europol gegen einen massiven Man-in-the-Middle-Angriff vorgehen, der den ganzen Kontinent überzog. Den Hackern war es gelungen, Zahlungsanforderungen zwischen Unternehmen und ihren Kunden abzufangen. Mithilfe von IP-Spoofing hatten sie sich illegal Zugang zu den E-Mail-Konten der Unternehmen verschafft. Sie verfolgten den E-Mail-Verkehr und fingen Zahlungsaufforderungen an die Kunden ab, die sie anschließend so manipulierten, dass die Kunden ihr Geld auf die Bankkonten der Betrüger überwiesen.

Neben dem IP-Spoofing gibt es noch zahlreiche andere Formen des Netzwerk-Spoofing wie E-Mail-Spoofing, Website-Spoofing, ARP-Spoofing, Spoofing von Textnachrichten und mehr. Den vollständigen Leitfaden von Kaspersky zu den verschiedenen Spoofing-Arten finden Sie hier.

So erkennen Sie IP-Spoofing

Für Endbenutzer ist IP-Spoofing sehr schwer zu erkennen, was es so gefährlich macht. Dies liegt daran, dass IP-Spoofing-Angriffe auf Netzwerkebene erfolgen, d. h. auf Schicht 3 des OSI-Schichtenmodells (Open System Interconnection). Die gefälschten Verbindungsanfragen erscheinen vollkommen legitim – es gibt keine äußeren Anzeichen für eine Manipulation.

Trotzdem gibt es Abhilfe: Mit Tools zur Netzwerküberwachung können Unternehmen den Datenverkehr an ihren Endpoints analysieren. Die Paketfilterung gehört dabei zu den gängigsten Arten der Kontrolle. Solche Paketfiltersysteme in Routern und Firewalls erkennen Unstimmigkeiten zwischen der IP-Adresse des Pakets und den IP-Adressen, die in den Zugangskontrolllisten (ACLs) aufgeführt sind. Sie erkennen auch gefälschte Pakete.

Bei der Paketfilterung wird zwischen der Eingangs- und der Ausgangsfilterung unterschieden:

• Bei der Eingangsfilterung werden eingehende Paketen dahingehend geprüft, ob der Quell-IP-Header einer zulässigen Quelladresse zugeordnet werden kann. Alle Pakete, die verdächtig erscheinen, werden zurückgewiesen.
• Bei der Ausgangsfilterung werden ausgehende Pakete auf Quell-IP-Adressen überprüft, die nicht mit denen im Unternehmensnetzwerk übereinstimmen. Damit soll verhindert werden, dass Insider IP-Spoofing-Angriffe starten.

So schützen sich vor IP-Spoofing

Beim IP-Spoofing geht es in erster Linie darum, die wahre Identität des Angreifers zu verschleiern, daher sind sie so schwer zu erkennen. Es gibt jedoch einige Maßnahmen, um das Risiko von Spoofing zu minimieren. IP-Spoofing lässt sich nicht auf der Ebene der Endbenutzer verhindern, sondern fällt in den Aufgabenbereich des Serverteams.

Schutz vor IP-Spoofing für IT-Spezialisten:

Die meisten Strategien zur Vermeidung von IP-Spoofing müssen von IT-Spezialisten entwickelt und implementiert werden. Vorhandene Optionen zum Schutz vor IP-Spoofing:

• Überwachung des Netzwerks auf untypische Vorgänge.
• Mithilfe der Paketfilterung lassen sich Unstimmigkeiten aufdecken (z. B. werden ausgehende Pakete auf Quell-IP-Adressen überprüft, die nicht mit denen im Unternehmensnetzwerk übereinstimmen).
• Anwendung robuster Verifizierungsmethoden (auch zwischen vernetzten Computern).
• Authentifizierung aller IP-Adressen und Implementierung eines Network Attack Blocker.
• Verlegung zumindest eines Teils der Computerressourcen hinter eine Firewall. Eine Firewall trägt zum Schutz Ihres Netzwerks bei, indem sie den Datenverkehr mit gefälschten IP-Adressen herausfiltert, den Datenverkehr verifiziert und nicht autorisierte Zugriffe von außen unterbindet.

Webdesigner sollten ihre Webseiten grundsätzlich auf IPv6, das neueste Internetprotokoll, umstellen. Mit diesem Protokoll wird das IP-Spoofing durch Verschlüsselungs- und Authentifizierungsschritte erschwert. Ein großer Teil des weltweiten Internetverkehrs basiert noch immer auf dem bisherigen Protokoll IPv4.

Schutz vor IP-Spoofing für Endbenutzer:

Endbenutzer können IP-Spoofing nicht verhindern. Nichtsdestotrotz ist gute Cyberhygiene grundsätzlich immer dazu geeignet, Ihre Sicherheit im Internet zu maximieren. Sinnvolle Vorsichtsmaßnahmen:

Absicherung des Heimnetzwerks

Ändern Sie die Standardbenutzernamen und -passwörter für Ihren Heimrouter und alle angeschlossenen Geräte und vergeben sie ausschließlich sichere Passwörter. Ein sicheres Passwort ist schwer zu erraten, mindestens 12 Zeichen lang und besteht aus einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Den vollständigen Leitfaden von Kaspersky zur Einrichtung eines sicheren Heimnetzwerks finden Sie hier.

Vorsicht bei der Einwahl in ein öffentliches WLAN

Schließen Sie nach Möglichkeit keine Transaktionen wie Einkäufe oder Bankgeschäfte über ein ungesichertes öffentliches WLAN ab. Wenn Sie öffentliche Hotspots nutzen müssen, können Sie Ihre Sicherheit erhöhen, indem Sie über ein virtuelles privates Netzwerk oder VPN online gehen. Ein VPN verschlüsselt Ihre Internetverbindung und schützt so die persönlichen Daten, die Sie senden und empfangen.

Besuchen Sie nur Webseiten mit HTTPS-Adresse

Manche Websites verschlüsseln die Daten nicht. Ohne gültiges SSL-Zertifikat sind sie Angriffen nahezu schutzlos ausgeliefert. Webseiten, deren URL mit HTTP und nicht mit HTTPS beginnt, sind nicht sicher. Jeder Kunde, der vertrauliche Daten auf einer solchen Website eingibt, geht ein erhebliches Risiko ein. Wenn Sie in der URL-Adressleiste ein Vorhängeschloss-Symbol sehen, können Sie sicher sein, dass Sie sich auf einer HTTPS-Webseite befinden.

Seien Sie vor Phishing auf der Hut

Wenn Sie in einer E-Mail aufgefordert werden, Ihr Passwort oder andere Anmeldeinformationen bzw. Zahlungskartendaten zu aktualisieren, haben Sie es wahrscheinlich mit einer Phishing-Mail zu tun. Betrüger versuchen in Phishing-Mails bewusst den Anschein zu erwecken, dass die Nachricht von einer seriösen Organisation stammt. Öffnen Sie niemals einen Link oder Anhang in einer Phishing-Mail.

Installieren Sie ein umfassendes Antiviren-Programm

Den besten Online-Schutz vor Hackern, Viren, Malware und den neuesten Online-Bedrohungen bietet ein hochwertiges Antiviren-Programm. Außerdem sollten Sie darauf achten, dass Sie Ihre Software stets auf dem neuesten Stand ist, um sicherzustellen, dass Ihr Virenschutz über die neuesten Sicherheitsfunktionen verfügt.

Produktempfehlungen

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Weitere Artikel

• So verbergen Sie Ihre IP-Adresse
• Was ist DNS-Spoofing und wie kann man es verhindern?
• Was ist Telefon-Spoofing?
• Was ist Datenschutz?