Identitätsdiebstahl ist immer eine Bedrohung, egal über welches Medium. Das so genannte „IP-Spoofing“ ist eine gängige Methode für böswillige Nutzer/innen, um schnell Glaubwürdigkeit für ihre Hacking-Versuche zu erlangen.

Da jeder Computer und Server eine eindeutige Kennung (eine „Internetprotokoll“- oder IP-Adresse) hat, kann fast jeder, der das Internet nutzt, angreifbar sein. IP-Spoofing ist eine Methode, um das Aussehen einer Quelladresse (z. B. einer E-Mail-Adresse) zu „fälschen“ und sich als Person auszugeben. Es kann in verschiedenen Formen auftreten, deshalb musst du auf der Hut sein.

In diesem Beitrag werden wir über IP-Spoofing sprechen, was es ist, warum du ein Ziel bist und vieles mehr. Außerdem sprechen wir über einige der häufigsten IP-Spoofing-Angriffe, mit denen du konfrontiert wirst, sowie über einige legitime Einsatzmöglichkeiten von IP-Spoofing.

Was ist IP-Spoofing?

IP-Spoofing nimmt einen Teil der Daten, die du über das Internet sendest, und lässt sie so aussehen, als kämen sie von einer legitimen Quelle. IP-Spoofing ist ein weit gefasster Begriff für viele verschiedene Angriffe:

  • IP-Adress-Spoofing: Hierbei handelt es sich um eine einfache Verschleierung der IP-Adresse des Angreifers, um Denial-of-Service (DoS)-Angriffe und mehr durchzuführen.
  • Domain Name Server (DNS) Spoofing: Dabei wird die Quell-IP des DNS verändert, um einen Domainnamen auf eine andere IP umzuleiten.
  • Address Resolution Protocol (ARP) Spoofing: Ein ARP-Spoofing-Versuch ist einer der komplexeren Angriffe. Dabei wird die MAC-Adresse (Media Access Control) eines Computers mit einer legitimen IP-Adresse verknüpft, indem ARP-Nachrichten gefälscht werden.

Um es technisch auszudrücken: Beim IP-Spoofing werden die Daten genommen und einige identifizierbare Informationen auf Netzwerkebene verändert. Das macht Spoofing fast unentdeckbar.

Nehmen wir zum Beispiel einen DoS-Angriff.

Dabei wird eine Ansammlung von Bots mit gefälschten IP-Adressen eingesetzt, um Daten an eine bestimmte Website und einen bestimmten Server zu senden und diese offline zu nehmen. Das Spoofing der IP macht es schwierig, den Angriff zu erkennen, bevor es zu spät ist, und er ist auch im Nachhinein schwer zu verfolgen.

Machine-in-the-Middle (MITM)-Angriffe nutzen ebenfalls IP-Spoofing, weil der MITM-Ansatz darauf beruht, Vertrauen zwischen zwei Endpunkten vorzutäuschen. Auf diese beiden Angriffe gehen wir später noch genauer ein.

Wie IP-Spoofing entsteht

Um IP-Spoofing besser verstehen zu können, müssen wir dir erst einmal erklären, wie das Internet Daten sendet und nutzt.

Jeder Computer verwendet eine IP-Adresse, und alle Daten, die du versendest, werden in viele Teile („Pakete“) zerlegt. Jedes Paket wird einzeln verschickt. Am Ende der Kette werden sie dann wieder zusammengesetzt und als Ganzes präsentiert. Außerdem hat jedes Paket seine eigenen identifizierbaren Informationen (einen „Header“), der die IP-Adresse von Quelle und Ziel enthält.

Theoretisch soll dies sicherstellen, dass die Daten frei von Manipulationen am Ziel ankommen. Das ist jedoch nicht immer der Fall.

Beim IP-Spoofing wird der Quell-IP-Header verwendet und einige Details verändert, um den Anschein zu erwecken, dass es sich um eine echte Nachricht handelt. Auf diese Weise können selbst die strengsten und sichersten Netzwerke verletzt werden. Deshalb versuchen Web-Ingenieure oft, neue Wege zu finden, um Informationen zu schützen, die über das Internet übertragen werden.

IPv6 ist zum Beispiel ein neueres Protokoll, das Verschlüsselung und Authentifizierung ermöglicht. Für Endnutzer/innen helfen Secure Shell (SSH) und Secure Socket Layer (SSL) dabei, Angriffe abzuschwächen, aber wir werden später noch darauf eingehen, warum dies das Problem nicht aus der Welt schaffen kann. Je mehr Verschlüsselungsschritte du implementierst, desto besser kannst du deinen Computer schützen, zumindest theoretisch.

Es ist auch erwähnenswert, dass IP-Spoofing keine illegale Praxis ist, weshalb es weit verbreitet ist. Es gibt viele legitime Verwendungszwecke für IP-Spoofing, auf die wir in einem anderen Abschnitt eingehen werden. Das IP-Spoofing selbst verschafft den Hackern zwar einen Fuß in der Tür, aber es ist nicht die einzige Methode, um das Vertrauen zu brechen.

Warum deine IP ein Ziel für Spoofing ist

Abgesehen von allen moralischen und ethischen Erwägungen hat die Identität eines anderen Nutzers einen immensen Wert und Nutzen. Schließlich gibt es viele böse Menschen, die, wenn sie die Möglichkeit hätten, gerne die Identität eines anderen benutzen würden, um sich etwas zu verschaffen, ohne dass dies moralische Konsequenzen hätte.

Das Spoofing von IP-Adressen ist für viele böswillige Nutzerinnen und Nutzer ein wertvolles Ziel. Der Akt des IP-Spoofing ist nicht viel wert, aber die Möglichkeiten, die du dadurch gewinnst, könnten der Jackpot sein.

Durch IP-Spoofing kann sich ein Nutzer zum Beispiel als eine vertrauenswürdigere Adresse ausgeben, um persönliche Informationen (und mehr) von einem ahnungslosen Nutzer zu erhalten.

Das kann sich auch auf andere Nutzer/innen auswirken. Ein Hacker muss nicht die IP-Adresse jedes Ziels fälschen – er braucht nur eine, um die Schutzmaßnahmen zu durchbrechen. Durch die Verwendung dieser unverdienten Anmeldedaten kann derselbe Hacker auch das Vertrauen anderer im Netzwerk gewinnen und sie dazu bringen, persönliche Informationen weiterzugeben.

Die IP selbst ist also nicht wertvoll. Aber je nachdem, was mit der gefälschten IP gemacht wird, kann der Gewinn enorm sein, und das Potenzial für den Zugang zu anderen Systemen durch IP-Spoofing ist auch nicht unerheblich.

Die 3 häufigsten Arten von Angriffen durch IP-Spoofing

IP-Spoofing eignet sich gut für bestimmte Arten von Angriffen. Gehen wir als Nächstes auf drei davon ein.

1. Bot-Netze maskieren

Ein Bot-Netz ist ein Netzwerk von Computern, das ein Angreifer von einer einzigen Quelle aus kontrolliert. Auf jedem dieser Computer läuft ein eigener Bot, der die Angriffe im Namen des Angreifers ausführt. Ohne IP-Spoofing wäre es nicht möglich, Bot-Netze zu maskieren.

Unter normalen Umständen erlangen Hacker die Kontrolle durch eine Infektion, z. B. mit Malware. Der Einsatz von Bot-Netzen kann böswilligen Nutzern helfen, Spam-Angriffe, DDoS-Attacken, Werbebetrug, Ransomware-Angriffe und vieles mehr durchzuführen. Es ist eine vielseitige Methode, um gezielte Scharmützel gegen andere Nutzer/innen zu führen.

Ein Teil des Grundes dafür ist IP-Spoofing. Jeder Bot im Netzwerk hat oft eine gefälschte IP, so dass es schwierig ist, den böswilligen Akteur zu verfolgen.

Der Hauptnutzen des IP-Spoofings besteht darin, sich den Strafverfolgungsbehörden zu entziehen. Doch das ist nicht der einzige.

Die Verwendung von Bot-Netzen mit gefälschten IPs verhindert zum Beispiel auch, dass die Zielperson die Eigentümer über das Problem informiert. Dadurch kann sich der Angriff in die Länge ziehen und der Hacker kann den Fokus auf andere Ziele lenken. Theoretisch könnte dies dazu führen, dass ein Angriff unendlich lange läuft, um den Gewinn zu maximieren.

2. Direkte Denial-of-Service-Angriffe (DDoS)

Wenn eine Website aufgrund eines übermäßigen und überwältigenden böswilligen Datenverkehrs auf dem Server ausfällt, handelt es sich um einen DDoS-Angriff. Er kann für jeden Website-Betreiber lähmend sein, und es gibt viele Möglichkeiten, die Auswirkungen zu mildern.

Im Folgenden werden verschiedene Spoofing-Angriffe und -Techniken beschrieben, die zusammen den gesamten Angriff auslösen.

DNS-Spoofing

Zunächst wird ein böswilliger Benutzer DNS-Spoofing einsetzen, um ein Netzwerk zu infiltrieren. Ein böswilliger Akteur nutzt Spoofing, um den mit dem DNS verbundenen Domänennamen in eine andere IP-Adresse zu ändern.

Von hier aus lassen sich viele weitere Angriffe durchführen, aber die Infektion mit Malware ist eine beliebte Methode. Da sie den Datenverkehr von legitimen Quellen zu bösartigen Quellen umleitet, ohne entdeckt zu werden, ist es einfach, einen anderen Computer zu infizieren. Von dort aus werden weitere Rechner infiziert und bilden das Botnetz, um den DDoS-Angriff effizient auszuführen.

IP-Adressen-Spoofing

Nach dem DNS-Spoofing führt ein Angreifer weitere IP-Adress-Spoofings durch, um die einzelnen Bots innerhalb des Netzwerks zu verschleiern. Dies geschieht oft nach dem Prinzip der ständigen Zufallsgenerierung. So bleibt die IP-Adresse nie zu lange gleich, was es praktisch unmöglich macht, sie zu entdecken und zurückzuverfolgen.

Dieser Angriff auf Netzwerkebene ist für einen Endbenutzer unmöglich zu erkennen (und verblüfft auch viele Experten auf der Serverseite). Es ist eine effektive Methode, um bösartige Angriffe ohne Konsequenzen durchzuführen.

ARP Poisoning

ARP-Spoofing (oder „Poisoning“) ist eine weitere Möglichkeit, DDoS-Angriffe durchzuführen. Es ist viel komplexer als die Brute-Force-Methode zum Maskieren von Botnetzen und IP-Spoofing, aber es vereint beide Methoden, um einen Angriff durchzuführen.

Die Idee ist, ein lokales Netzwerk (LAN) anzugreifen und bösartige ARP-Datenpakete zu senden, um die eingestellten IP-Adressen in einer MAC-Tabelle zu ändern. Auf diese Weise kann ein Angreifer leicht Zugang zu einer großen Anzahl von Computern auf einmal erlangen.

Das Ziel von ARP Poisoning ist es, den gesamten Netzwerkverkehr durch einen infizierten Computer zu leiten und ihn dann von dort aus zu manipulieren. Dies ist über den Computer des Angreifers einfach zu bewerkstelligen und lässt ihm die Wahl zwischen einem DDoS- oder einem MITM-Angriff.

3. MITM-Angriffe

Machine-in-the-Middle (MITM)-Angriffe sind besonders komplex, hocheffektiv und äußerst katastrophal für ein Netzwerk.

Bei diesen Angriffen werden die Daten von deinem Computer abgefangen, bevor sie zu dem Server gelangen, mit dem du dich verbindest (z. B. mit deinem Webbrowser). So kann der Angreifer über gefälschte Webseiten mit dir interagieren und deine Daten stehlen. In manchen Fällen ist der Angreifer eine dritte Partei, die die Übertragung zwischen zwei legitimen Quellen abfängt, was die Effektivität des Angriffs erhöht.

MITM-Angriffe beruhen natürlich auf IP-Spoofing, denn es muss ein Vertrauensbruch stattfinden, ohne dass der Nutzer es merkt. Außerdem ist die Durchführung eines MITM-Angriffs im Vergleich zu anderen Angriffen von größerem Wert, da ein Hacker auf lange Sicht Daten sammeln und an andere verkaufen kann.

Reale Fälle von MITM-Angriffen zeigen, wie IP-Spoofing ins Spiel kommt. Wenn du eine IP-Adresse fälschst und dir Zugang zu persönlichen Kommunikationskonten verschaffst, kannst du jeden Aspekt dieser Kommunikation verfolgen. Von dort aus kannst du Informationen ausspähen, Nutzer/innen auf gefälschte Webseiten umleiten und vieles mehr.

Insgesamt ist ein MITM-Angriff ein gefährlicher und äußerst lukrativer Weg, um an Nutzerdaten zu gelangen, und IP-Spoofing ist ein zentraler Bestandteil davon.

Warum IP-Spoofing gefährlich für deine Webseite und deine Nutzer ist

Da IP-Spoofing auf einer niedrigen Netzwerkebene stattfindet, ist es eine Gefahr für fast jeden Nutzer im Internet.

Phishing und Spoofing gehen Hand in Hand. Und ein guter Spoofing-Angriff wird sich nicht als Phishing-Versuch herausstellen. Das bedeutet, dass die Nutzer/innen keinen Grund haben, misstrauisch zu sein und deshalb möglicherweise sensible Informationen preisgeben.

Geschäftskritische Elemente, wie z. B. Sicherheitssysteme und Firewalls, sind ein bevorzugtes Ziel. Aus diesem Grund ist die Sicherheit einer Webseite für viele ein wichtiges Thema. Du musst nicht nur genügend Funktionen implementieren, um einen Angriff abzuschwächen, sondern auch dafür sorgen, dass die Nutzer/innen deines Netzwerks wachsam sind und gute Sicherheitspraktiken anwenden.

Das Wordfence-Logo mit der Silhouette eines Zauns auf einem blauen Schild links von
Das Wordfence-Plugin ist eine solide Sicherheitslösung, die dich vor IP-Spoofing schützt.

 

Ein Aspekt des IP-Spoofings macht es jedoch nicht ganz so einfach, es zu unterbinden: Es gibt viele legitime Anwendungsfälle für diese Technik im Internet.

Legitime Verwendungszwecke für IP-Spoofing

Da IP-Spoofing in vielen Fällen nicht böswillig eingesetzt wird, kannst du nur wenig tun, um andere davon abzuhalten, es zu benutzen.

Tausende von „ethischen Hackern“ testen zum Beispiel Systeme für Unternehmen. Bei dieser Art von ethischem Hacking handelt es sich um einen sanktionierten Systembruch, der dazu dient, die Sicherheitsressourcen und -stärke zu testen.

Dabei wird der gleiche Prozess wie beim böswilligen Hacking durchgeführt. Der Nutzer führt Aufklärungsarbeit am Ziel durch, verschafft sich Zugang zum System und verschleiert sein Eindringen.

Es kommt häufig vor, dass unethische Hacker zu ethischen Hackern werden und eine Anstellung bei Unternehmen finden, die sie in der Vergangenheit vielleicht als Ziel betrachtet haben. Es gibt sogar offizielle Prüfungen und Zertifizierungen, die dir helfen, die richtigen Qualifikationen zu erwerben.

Einige Unternehmen setzen IP-Spoofing auch in Simulationsübungen ein, die nichts mit Systemeinbrüchen zu tun haben. Zum Beispiel sind Massenmails ein guter Anwendungsfall für Tausende von IP-Adressen, die alle durch (legitimes) Spoofing erstellt werden müssen.

Auch bei Tests zur Benutzerregistrierung wird IP-Spoofing eingesetzt, um die Ergebnisse zu simulieren. Jede Situation, in der du viele Nutzer simulieren musst, ist ein idealer Fall für ethisches IP-Spoofing.

Warum du IP-Spoofing nicht verhindern kannst

Da Spoofing so schwer zu erkennen ist und die Methode darin besteht, die wahre Identität zu verschleiern, kannst du nur wenig tun, um es zu verhindern. Du kannst jedoch das Risiko minimieren und die Auswirkungen vermindern.

Es ist wichtig zu wissen, dass ein Endnutzer (d. h. der Rechner auf der Client-Seite) Spoofing in keiner Weise verhindern kann. Es ist die Aufgabe des serverseitigen Teams, IP-Spoofing so gut wie möglich zu verhindern.

Es gibt einige Möglichkeiten, einem Hacker und einem potenziellen Ziel Steine in den Weg zu legen. Einige der bisher genannten sind:

  • Verwendung eines sichereren Protokolls, wie z. B. IPv6
  • Sicherstellen, dass die Nutzer/innen bei der Nutzung der Website und des Netzwerks gute individuelle Sicherheitsmaßnahmen ergreifen
  • Implementierung von SSL und SSH auf deiner Website

Es gibt jedoch noch mehr, was du tun kannst. Du kannst zum Beispiel eine spezielle Web Application Firewall (WAF) wie Sucuri einsetzen, die dabei hilft, „hohe Mauern“ um deine Website zu errichten.

Das Sucuri-Logo über den Worten
Das Sucuri-Logo.

Du kannst auch eine öffentliche kritische Infrastruktur (PKI) implementieren, um die Authentifizierung von Nutzern und zugehörigen Daten zu unterstützen. Diese beruht auf einer Kombination aus privatem und öffentlichem Schlüssel, um Daten zu ver- und entschlüsseln. Aufgrund der Art der Verschlüsselung ist es für Hacker sehr viel schwieriger, diese zu knacken.

Die Netzwerküberwachung ist eine grundlegende Technik, die dir helfen kann, Anzeichen für IP-Spoofing oder ähnliche Angriffe zu erkennen. Das kann viele Formen annehmen, aber je besser du dein System kennst, desto größer ist die Chance, bösartige Angriffe zu erkennen.

Auch die Paketfilterung kann helfen, IP-Spoofing-Versuche zu bekämpfen. die „Ingress“- und „Egress“-Filterung prüft die Kopfzeilen der ein- und ausgehenden Kommunikation. Wenn etwas diesen Filter nicht passiert, hat es keine Auswirkungen auf die Nutzer/innen im Netzwerk.

Die Deep Packet Inspection (DPI) schließlich ist eine ähnliche Technik, die ebenso effektiv ist. Diese und die anderen Methoden können sogar kombiniert werden, um ein Netzwerk oder einen Server abzusichern.

Zusammenfassung

Deine IP-Adresse ist einzigartig für dich, so wie für jeden Computer, der heute benutzt wird. Diese Adresse hilft bei vielen Aufgaben wie Authentifizierung, Verschlüsselung und mehr. Das macht fast jede IP-Adresse zu einem Ziel für Hacker und Kriminelle.

IP-Spoofing täuscht die Legitimität einer Adresse vor und nutzt sie, um in sichere Netzwerke einzudringen und sich zu bereichern.

Die Behebung von IP-Spoofing entzieht sich der Kontrolle des Endnutzers und kann auch für Systemadministratoren schwierig zu handhaben sein. Insgesamt kannst du die Auswirkungen von IP-Spoofing auf dein Netzwerk nur abmildern, aber nicht vollständig ausmerzen.

Dennoch gibt es eine Reihe von Hindernissen, die du einem potenziell böswilligen Nutzer in den Weg legen kannst. Typische Verschlüsselungsmethoden helfen dabei ebenso wie eine gute Firewall und eine Netzwerküberwachungsstrategie.

Bist du ein Opfer von IP-Spoofing geworden und wenn ja, wie hast du das Problem gelöst? Teile uns deine Meinung in den Kommentaren unten mit!

Salman Ravoof

Salman Ravoof ist ein autodidaktischer Webentwickler, Autor, Kreativer und ein großer Bewunderer von Free and Open Source Software (FOSS). Neben Technik begeistert er sich für Wissenschaft, Philosophie, Fotografie, Kunst, Katzen und Essen. Erfahre mehr über ihn auf seiner Website und trete mit Salman auf X in Kontakt.