IP Spoofing

Das'« IP Spoofing » ou en anglais ) est eine Technik, die darin besteht, die IP Adresse des Senders eines IP Paketd durch die Adresse eines anderen Rechners zu ersetzen.

Durch diese Technik kann ein Hacker anonym Pakete versenden. Es geht nicht wirklich um eine Änderung der IP Adresse, sondern eher um eineVerschleierung der IP Adresse der gesendeten Pakete.

Manche vergleichen die Verwendung eines Proxys (ermöglicht gewisserweise die Maskierung der IP Adresse) mit IP Spoofing. Allerdings leitet der Proxy die Pakete nur weiter. Auch wenn die Adresse anscheinend verschleiert ist, kann ein Hacker leicht über die Logdateien des Proxy gefunden werden.

Angriff durch Spoofing

Die Technik des IP Spoofings kann es einem Hacker ermöglichen, Pakete in ein Netzwerk einzuschleusen, ohne dass diese vom Paketfiltersystem aufgehalten werden (derFirewall).

Ein Firewallsystem funktioniert meist durch Filterregeln, die die IP Adressen der Rechner angeben, die autorisiert sind, mit Netzwerkinternen Rechnern zu kommunizieren.

So schein ein gespooftes Paket mit der IP Adresse eines internen Rechners aus dem internen Netzwerk zu komme und wird an den Opferrechner weitergeleitet, während ein Paket mit einer externen IP Adresse automatisch von der Firewall zurückgeworfen wird.

Allerdings arbeitet dasTCP Protokoll (Protokoll, das in erster Linie den verlässlichen Datentransport im Internet durchführt) auf Authentifizierungs- und Approbations-Beziehungen zwischen den Rechnern eines Netzwerks, was bedeutet, das der Empfänger, um das Paket zu erhalten, zuvor eine Empfangsbestätigung an den Sender sendert, dieser muss daraufhin mit einer Bestätigung der Empfangsbestätigung antworten.

Veränderung des TCP-Headers

Im Internet zirkulieren Informationen mittels demIP Protokoll, dass die Einkapselung von Daten in Strukturen sicherstellt, die Pakete genannt werdne (oder, genauerIP Datagramme). So sieht die Struktur eines Datagramms aus :

Eine IP Adresse zu verschleiern kommt einer Modifikation des FeldesQuelle gleich, um ein Datagramm vorzustäuschen, das von einer anderen IP Adresse Stammt. Allerdings werden Pakete im Internet meist über dasTCP Protokoll transportiert, welches eine « verlässliche » Übertragung verspricht.

Bevor ein Paket angenommen wird, muss der Rechner eine Empfangsbestätigung an den Sende-Rechner schicken, und abwarten, dass dieser den Empfang der Bestätigung bestätigt.

Approbations-Beziehungen

DasTCP Protokoll ist eines der wichtigsten Protokolle der Transportsschiene des TCP/IP Modells. Auf der Stufe der Anwendungen ermöglicht es, Daten zu verarbeiten, die von der im Modell darunterliegenden Schicht (also dem IP Protokoll) kommen (oder dafür bestimmt sind).

Das TCP Protokoll ermöglicht es, einen verlässlichen Datentransfer zu gewährleisten, obwohl er das IP Protokoll nützt (welches keine Lieferkontrolle für Datagramme verwendet), und zwar mittels eines Systems von Empfangsbestätigungen (ACK), die es dem Client und dem Server ermöglichen, den wechselseitigen Empfang der Daten zu kontrollieren.

IP Datagramme schließen TCP Pakete (genanntsegments) dont voici la structure :

Beim Versenden eines Segments, wird eine Ordnungsnummer (auch Sequenznummer genannt) zugeteilt, und ein Austausch von Segmenten mit speziellen Feldern (genannt Flags) ermöglicht eine Synchronisierung von Client und Server.
Dieser Dialog (genanntDreifacher Handschlag) ermöglicht den Kommunikationsaufbau, der läuft in drei Phasen ab, wie der Name es vermuten lässt:

• Zuerst übermittelt der sendende Rechner (der Client) ein Segment,dessen SYN-Flag auf 1 steht (um mitzuteilen, dass es sich um ein Synchronisierungs-Segment handelt), mit einer Ordnungsnummer N, die man die initiale Ordnungsnummer des Clients nennt.
• Dann erhält der Empfangs-Rechner (der Server) das erste Segment vom Client, und sendet ihm darauf hin eine Empfangsbestätigung, also ein Segment, dessen ACK-Flag nicht auf Null steht (Bestätigung für Empfang), die SYN-Flag steht auf 1 (da es immer noch um die Synchronisierung geht). Dieses Segment enthält eine Sequenznummer, die der initialen Ordnungsnummer des Clients gleicht. Das wichtigste Feld dieses Segments ist die Empfangsbestätigung (ACK), die die initiale Ordnungsnummer des Clients enthält, um 1 erhöht.
• Schließlich sendet der Client dem Server eine Empfangsbestätigung, also ein Segment, dessen ACK-Flag ungleich Null ist, und dessen SYN-Flag auf Null steht (es ist kein Synchronisierungssegment mehr). Dier Ordnungsnummer ist erhöht und die Nummer der Empfangsbestätigung entspricht der initialen Sequenznummer des Servers, um 1 erhöht.

Den gespooften Rechner unbrauchbar mechen

Bei einem Angriff durch IP Spoofing, erhält der Angreifer keinerlei Information in retour, da die Antworten des Opferrechners an einen anderen Rechner des Netzwerks gehen (man spricht dann von einemblinden Angriff, auf Englischblind attack).

Außerdem nimmt der « gespoofte » Rechner dem Hacker jede Kommunikationsmöglichkeit, da er systematisch RST-Flags an den Opferrechner versendet. Die Arbeit des Hackers besteht also darin, die gespoofte Maschine während des gesamten Angriffs unbrauchbar zu machen, indem er sie nicht erreichbar macht.

Voraussagen von Sequenznummern

Sobald der gespoofte Rechner unbrauchbar gemacht wurde, erwartet der Opferrechner ein Paket mit der Empfangsbestätigung und der richtigen Sequenznummer. Die Arbeit des Hackers besteht also zunächst darin, zu « erraten » welche Sequenznummer er an den Server senden muss, damit die Vertrauens-Beziehung aufgebaut wird.

Dafür verwenden Hacker meist source routing, das bedeutet, sie verwenden das Feld option des IP Headers um eine spezielle Retour-Route für das Paket anzugeben. So kann der Hacker mittels sniffing sogar den Inhalt der Retour-Frames lesen...

Kennt der Hacker also die letzte ausgegebene Sequenznummer, erstellt er Statistiken bezüglich des Inkrements und versendet Empfangsbestätigungen, bis er die richtige Sequenznummer erhält.

Plus d'information

• CERT® Advisory CA-1995-01 IP Spoofing Attacks and Hijacked Terminal Connections
• RFC 793 - Transmission Control Protocol - Protocol Specification
• RFC 1948 - Defending Against Sequence Number Attacks