Linux Firewalls Teil 15 - Angriffe Teil III: IP-Spoofing

Beim IP-Spoofing handelt es sich um die älteste Variante des Spoofing. Hierbei täuscht der Angreifer wie bereits im letzten Beitrag beschrieben die IP-Adresse eines anderen Rechners vor. Diese Angriffsvariante wird bei einem SYN-Flood-Angriff zur Verwischung der Spuren verwendet, die Vertrauensstellung zwischen Rechnern auszunutzen, es kann jedoch auch als SMURF-Angriff genutzt werden.

SMURF-Angriff

Ein SMURF-Angriff ist mit einem DoS Angriff zu vergleichen, nur das es hier nicht das Ziel ist einen Dienst zu stören, sondern einen einzelnen Rechner in einem Netzwerk.

Der Angreifer täuscht die Adresse eines Rechners in einem Netzwerk vor. Jedes Netzwerk besitzt eine Broadcast-Adresse, über welche die Adressen im Netzwerk und der Datenverkehr verwaltet werden. An diese Broadcast-Adresse wird ein ICMP-Echo-Request-Paket gesendet, dieses Paket fordert von allen UNIX-Rechnern des Netzwerkes ein ICMP-Echo-Reply-Paket an.

Dieses Paket wird jetzt jedoch nicht an den Rechner des Angreifers geschickt, sondern an den Zielrechner. Geschieht dieser Angriff oft genug besteht die Möglichkeit die Verbindung des Zielrechners zu blockieren und so unbrauchbar zu machen. Dies kann z.b. genutzt werden um den Systemadmin zu blockieren und sich so für einen Angriff Zeit zu erkaufen.

Die Reaktion auf Request-Pakete wird heute meist von Herstellern oder Admins deaktiviert, um solchen Angriffen vorzugreifen.

Schutz vor IP-Spoofing

Der beste Schutz vor einem IP-Spoofing Angriff ist die Firewall. Die Kommunikation über das UDP-Protokoll bietet keinen Schutz, da es nicht verbindungsorientiert arbeitet und so gespoofte IP-Pakete nicht erkannte werden können.

Anders sieht es jedoch bei einer TCP-Verbindung aus, hier reicht es nicht die IP-Adresse zu fälschen. Es müssen zusätzlich Sequenz- und Ackknowledgement-Nummern gespooft werden.

Quellen

• Ralf Spenneberg – Linux-Firewalls, Sicherheit für Linux-Server und –Netzwerke mit IPv4 und IPv6 2 Auflage
• Bilder: @satren