Bundesamt für Sicherheit in der Informationstechnik

G 5.48 IP-Spoofing

IP-Spoofing ist eine Angriffsmethode, bei der falsche IP -Adressen verwendet werden, um dem angegriffenen IT -System eine falsche Identität vorzuspielen.

Bei vielen Protokollen der TCP /IP-Familie erfolgt die Authentisierung der kommunizierenden IT-Systeme nur über die IP-Adresse, die leicht gefälscht werden kann. Wird dazu noch ausgenutzt, dass die, von den Rechnern beim Aufbau einer TCP/IP-Verbindung erzeugten Sequenznummern leicht zu erraten sind, ist es möglich, Pakete mit jeder beliebigen Absenderadresse zu verschicken. Damit können entsprechend konfigurierte Dienste wie rlogin benutzt werden. Allerdings muss ein Angreifer dabei u. U. in Kauf nehmen, dass er kein Antwortpaket von dem missbräuchlich benutzten Rechner erhält.

Weitere Dienste, die durch IP-Spoofing bedroht werden, sind rsh, rexec, X-Windows, RPC-basierende Dienste wie NFS , DNS und der TCP-Wrapper, der ansonsten ein sehr sinnvoller Dienst zur Einrichtung einer Zugangskontrolle für TCP/IP-vernetzte Systeme ist. Leider sind auch die in Schicht 2 des OSI-Modells eingesetzten Adressen wie Ethernet- oder Hardware-Adressen leicht zu fälschen und bieten somit für eine Authentisierung keine zuverlässige Grundlage.

In LAN s, in denen das Address Resolution Protocol (ARP) eingesetzt wird, sind sehr viel wirkungsvollere Spoofing-Angriffe möglich. ARP dient dazu, zu einer 32-Bit großen IP-Adresse die zugehörige 48-Bit große Hardware- oder Ethernet-Adresse zu finden. Falls in einer internen Tabelle des Rechners kein entsprechender Eintrag gefunden wird, wird ein ARP-Broadcast-Paket mit der unbekannten IP-Adresse ausgesandt. Der Rechner mit dieser IP-Adresse sendet dann ein ARP-Antwort-Paket mit seiner Hardware-Adresse zurück. Da die ARP-Antwort-Pakete nicht manipulationssicher sind, reicht es dann meist schon, die Kontrolle über einen der Rechner im LAN zu bekommen, um das gesamte Netz zu kompromittieren.

Stand: 12. EL Stand 2011