Vortäuschung einer IP Adresse (Verschleierung / Spoofing)

Dezember 2016

IP Spoofing

Das'« IP Spoofing » ou en anglais ) est eine Technik, die darin besteht, die IP Adresse des Senders eines IP Paketd durch die Adresse eines anderen Rechners zu ersetzen.

Durch diese Technik kann ein Hacker anonym Pakete versenden. Es geht nicht wirklich um eine Änderung der IP Adresse, sondern eher um eine Verschleierung der IP Adresse der gesendeten Pakete.

Manche vergleichen die Verwendung eines Proxys (ermöglicht gewisserweise die Maskierung der IP Adresse) mit IP Spoofing. Allerdings leitet der Proxy die Pakete nur weiter. Auch wenn die Adresse anscheinend verschleiert ist, kann ein Hacker leicht über die Logdateien des Proxy gefunden werden.

Angriff durch Spoofing

Die Technik des IP Spoofings kann es einem Hacker ermöglichen, Pakete in ein Netzwerk einzuschleusen, ohne dass diese vom Paketfiltersystem aufgehalten werden (der Firewall).

Ein Firewallsystem funktioniert meist durch Filterregeln, die die IP Adressen der Rechner angeben, die autorisiert sind, mit Netzwerkinternen Rechnern zu kommunizieren.

Franchissement d\'un firewall par la technique du spoofing

So schein ein gespooftes Paket mit der IP Adresse eines internen Rechners aus dem internen Netzwerk zu komme und wird an den Opferrechner weitergeleitet, während ein Paket mit einer externen IP Adresse automatisch von der Firewall zurückgeworfen wird.

Allerdings arbeitet das TCP Protokoll (Protokoll, das in erster Linie den verlässlichen Datentransport im Internet durchführt) auf Authentifizierungs- und Approbations-Beziehungen zwischen den Rechnern eines Netzwerks, was bedeutet, das der Empfänger, um das Paket zu erhalten, zuvor eine Empfangsbestätigung an den Sender sendert, dieser muss daraufhin mit einer Bestätigung der Empfangsbestätigung antworten.

Veränderung des TCP-Headers

Im Internet zirkulieren Informationen mittels dem IP Protokoll, dass die Einkapselung von Daten in Strukturen sicherstellt, die Pakete genannt werdne (oder, genauer IP Datagramme). So sieht die Struktur eines Datagramms aus :

Version Länge des Headers Art des Dienstes Gesamtlänge
Identifikation
Flagge Fragment-Offset
Lebensdauer Protokoll Prüfsumme Header
Quell-IP Adresse
Ziel-IP Adresse
Daten

Eine IP Adresse zu verschleiern kommt einer Modifikation des Feldes Quelle gleich, um ein Datagramm vorzustäuschen, das von einer anderen IP Adresse Stammt. Allerdings werden Pakete im Internet meist über das TCP Protokoll transportiert, welches eine « verlässliche » Übertragung verspricht.

Bevor ein Paket angenommen wird, muss der Rechner eine Empfangsbestätigung an den Sende-Rechner schicken, und abwarten, dass dieser den Empfang der Bestätigung bestätigt.

Approbations-Beziehungen

Das TCP Protokoll ist eines der wichtigsten Protokolle der Transportsschiene des TCP/IP Modells. Auf der Stufe der Anwendungen ermöglicht es, Daten zu verarbeiten, die von der im Modell darunterliegenden Schicht (also dem IP Protokoll) kommen (oder dafür bestimmt sind).

Das TCP Protokoll ermöglicht es, einen verlässlichen Datentransfer zu gewährleisten, obwohl er das IP Protokoll nützt (welches keine Lieferkontrolle für Datagramme verwendet), und zwar mittels eines Systems von Empfangsbestätigungen (ACK), die es dem Client und dem Server ermöglichen, den wechselseitigen Empfang der Daten zu kontrollieren.

IP Datagramme schließen TCP Pakete (genannt segments) dont voici la structure :

URG ACK PSH RST SYN FIN
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Quell-Port Empfänger-Port
Ordnungsnummer
Nummer der Empfangsbestätigung
Offset
Daten
reserviert
Fenster
Prüfsumme
Urgent Pointer
Optionen Auffüllen
Daten

Beim Versenden eines Segments, wird eine Ordnungsnummer (auch Sequenznummer genannt) zugeteilt, und ein Austausch von Segmenten mit speziellen Feldern (genannt Flags) ermöglicht eine Synchronisierung von Client und Server.
Dieser Dialog (genannt Dreifacher Handschlag) ermöglicht den Kommunikationsaufbau, der läuft in drei Phasen ab, wie der Name es vermuten lässt:

  • Zuerst übermittelt der sendende Rechner (der Client) ein Segment,dessen SYN-Flag auf 1 steht (um mitzuteilen, dass es sich um ein Synchronisierungs-Segment handelt), mit einer Ordnungsnummer N, die man die initiale Ordnungsnummer des Clients nennt.
  • Dann erhält der Empfangs-Rechner (der Server) das erste Segment vom Client, und sendet ihm darauf hin eine Empfangsbestätigung, also ein Segment, dessen ACK-Flag nicht auf Null steht (Bestätigung für Empfang), die SYN-Flag steht auf 1 (da es immer noch um die Synchronisierung geht). Dieses Segment enthält eine Sequenznummer, die der initialen Ordnungsnummer des Clients gleicht. Das wichtigste Feld dieses Segments ist die Empfangsbestätigung (ACK), die die initiale Ordnungsnummer des Clients enthält, um 1 erhöht.
  • Schließlich sendet der Client dem Server eine Empfangsbestätigung, also ein Segment, dessen ACK-Flag ungleich Null ist, und dessen SYN-Flag auf Null steht (es ist kein Synchronisierungssegment mehr). Dier Ordnungsnummer ist erhöht und die Nummer der Empfangsbestätigung entspricht der initialen Sequenznummer des Servers, um 1 erhöht.
. Der gespoofte Rechner wird mit einem TCP Paket antworten, dessen RST-Flag (reset) ungleich Null ist, was die Verbindung kappt.

Den gespooften Rechner unbrauchbar mechen

Bei einem Angriff durch IP Spoofing, erhält der Angreifer keinerlei Information in retour, da die Antworten des Opferrechners an einen anderen Rechner des Netzwerks gehen (man spricht dann von einem blinden Angriff, auf Englisch blind attack).

La machine spoofée répond au ACK par un RST

Außerdem nimmt der « gespoofte » Rechner dem Hacker jede Kommunikationsmöglichkeit, da er systematisch RST-Flags an den Opferrechner versendet. Die Arbeit des Hackers besteht also darin, die gespoofte Maschine während des gesamten Angriffs unbrauchbar zu machen, indem er sie nicht erreichbar macht.

Voraussagen von Sequenznummern

Sobald der gespoofte Rechner unbrauchbar gemacht wurde, erwartet der Opferrechner ein Paket mit der Empfangsbestätigung und der richtigen Sequenznummer. Die Arbeit des Hackers besteht also zunächst darin, zu « erraten » welche Sequenznummer er an den Server senden muss, damit die Vertrauens-Beziehung aufgebaut wird.

Dafür verwenden Hacker meist source routing, das bedeutet, sie verwenden das Feld option des IP Headers um eine spezielle Retour-Route für das Paket anzugeben. So kann der Hacker mittels sniffing sogar den Inhalt der Retour-Frames lesen...

Recherche des numéros de séquence

Kennt der Hacker also die letzte ausgegebene Sequenznummer, erstellt er Statistiken bezüglich des Inkrements und versendet Empfangsbestätigungen, bis er die richtige Sequenznummer erhält.

Plus d'information


Lesen Sie auch :


IP address spoofing
IP address spoofing
Suplantación de dirección IP
Suplantación de dirección IP
Usurpation d'adresse IP (Mystification / Spoofing)
Usurpation d'adresse IP (Mystification / Spoofing)
Spoofing di indirizzo IP
Spoofing di indirizzo IP
Usurpação de endereço IP (Mystification/Spoofing)
Usurpação de endereço IP (Mystification/Spoofing)
Das Dokument mit dem Titel « Vortäuschung einer IP Adresse (Verschleierung / Spoofing) » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.