Linux Firewalls Teil 14 - Angriffe Teil II: Spoofing

Beim Spoofing fälscht der Angreifer bestimmte Informationen. Ziel ist es im Regelfall die Identität eines anderen Rechners anzunehmen. Man spricht im allgemeinen von drei verschiedenen Spoofing-Arten. In diesem Beitrag wird eine grobe Übersicht der verschiedenen Methoden gegeben, in den folgenden drei Teilen wird jede für sich näher betrachtet.

IP-Spoofing                     

Beim IP-Spoofing verändert der Angreifer den IP-Header, vereinfacht gesagt die Adresse seines Rechners. Meistens wird versucht die Identität des Absenders zu übernehmen. Ziel ist es die Identität eines anderen Rechners anzunehmen und so entweder seine Spuren zu verwischen, wie es bereits beim Artikel über DoS-Angriffe erwähnt wurde, oder eine Vertrauensstellung zwischen zwei Rechnern auszunutzen. Dies kann z.b. der Fall sein, wenn zum Zugriff auf einen gesicherten Bereich nur bestimmte Rechner berechtigt sind, wenn nun ein Angreifer die Identität eines dieser Rechner übernimmt, hat er Zugriff auf die internen Daten der Firma.

ARP-Spoofing

Ein ARP-Spoofing-Angriff zielt auf geswitchte Netzwerke ab. Hierdurch ist es Möglich trotz einem Switch alle ausgetauschten Pakete zu protokollieren und hierauf zu reagieren. So können ARP-Antworten gefälscht werden, dies wird z.b. beim TCP-Session-Hijacking verwendet.

DNS-Spoofing

Beim DNS-Spoofing, der für den 0815-Nutzer bedrohlichsten Spoofing-Art. Hierbei fälscht der Angreifer die Zuordnung eines DNS-Namens zu einer IP-Adresse und gibt sich als der angezeigte Dienst an. Dies geschieht durch die Fälschung der Antwort eines DNS-Servers. Diese Methode ist vor allem im Kryptobereich beliebt, es wird der DNS-Name eines Walletanbieters gefälscht und eine manipulierte Wallet-Software angeboten, die nach der Eingabe des Private-Keys das Guthaben an die Wallet des Angreifers schickt.

Quellen

• Ralf Spenneberg – Linux-Firewalls, Sicherheit für Linux-Server und –Netzwerke mit IPv4 und IPv6 2 Auflage