Catch me if you can!
Trotz immer ausgeklügelteren Betrugsversuchen sind gewisse, schon fast prähistorische Schummeltechniken des digitalen Netzes einfach nicht unterzukriegen; so auch das Fälschen der Absenderadresse, das sogenannte IP Spoofing.
Jedes Datenpaket im Internet hat gemäss Definition eine Absender- sowie eine Empfängeradresse von denen stillschweigend angenommen wird, dass diese korrekt sind. Denn fehlt die Empfängeradresse, findet das Paket sein Ziel nicht, stimmt hingegen der Absender nicht, kann darauf nicht geantwortet werden und es findet somit kein Datenaustausch statt.
Was geschieht bei IP Spoofing?
Bei normaler Internetnutzung mag diese stillschweigend getroffene Annahme stimmen, doch bei einigen Szenarien im Internet ist der Urheber gar nicht an einer Antwort interessiert und muss sich deshalb auch nicht an diese Vorgaben halten. Im Gegenteil ist er sogar darauf bedacht, die Herkunft seiner „bösen“ Datenpakete zu verschleiern und setzt kurzerhand eine andere Absenderadresse ein. Der empfangende Server versucht daraufhin gehorsam auf die eingehenden Pakete zu reagieren und überhäuft dabei den vermeintlichen Absender mit eigentlich unerwünschten Antworten.
Dabei sind zwei Szenarien zu unterscheiden:
Ist die gefälschte Absenderadresse immer dieselbe, wird der ahnungslose „Absender“, und somit das eigentliche Angriffsziel des Fälschers, noch zusätzlich zu seiner normalen Arbeitslast mit unnützen Daten belastet, bis er in die Knie geht.
Wechseln die gefälschten Absenderadressen hingegen wahllos, ist der Empfänger das eigentliche Angriffsziel, da er gezwungenermassen versuchen wird, den plötzlich sprunghaft gestiegenen Anfragezahlen diverser Herkunftsorte Herr zu werden und seine eigentliche Arbeit darunter leidet.
Wo wird IP Spoofing eingesetzt?
Früher wurde IP Spoofing vor allem eingesetzt, um bei IP- oder Host-basierenden Logins sich den Zugang zu erschleichen, da die richtige IP-Adresse schon als „korrektes Passwort“ galt. Heute wird es aber hauptsächlich bei verteilten Angriffen (DDoS) über Bot-Netze aus dem Internet verwendet. Zwar benötigt ein grosses Bot-Netz eigentlich keine Absenderverschleierung mehr, doch kostet sie kaum Ressourcen und erschwert die Angriffsabwehr massiv. Die Motivationen für einen DDoS-Angriff können dabei von Erpressungen über Einbruchsversuche bis hin zu banalen Jugendstreichen reichen.
Wie schütze ich mich dagegen?
Die Attraktivität des IP Spoofing liegt in der Tatsache, dass man sich alleine nur sehr schwer dagegen schützen kann, da die Ursache inhärent mit dem Internet Protokoll verwoben ist. Wer konsequent seinen ein- und ausgehenden Datenverkehr aber auf die Plausibilität der Absenderadressen filtert (lokale Adressen haben bei einem externen Empfänger nichts zu suchen, ausgehender Verkehr mit Absenderadressen ohne lokalen Ursprung sind verdächtig, etc.), leistet schon einen guten Präventionsanteil. Zusätzlich helfen eine konsequente Anwendung von starker Verschlüsselung und guter Authentifizierung.