IP-Spoofing: Anwendungen, Folgen sowie Methoden zur Identifizierung und Gegenmaßnahmen

Warum ist das Wissen über IP-Spoofing für Netzwerkadministratoren und Sicherheitsteams so wichtig?

Diese Frage ist für Netzwerkadministratoren, Standortadministratoren, DevOps- und Sicherheitsteams von entscheidender Bedeutung. Im Folgenden erläutern wir sie sowohl aus technischer als auch aus praktischer Sicht. Was ist IP-Spoofing?, aus welchen konzeptionellen Methoden es besteht, in welchen Szenarien es einen legitimen Nutzen hat, wie es erkannt und verhindert werden kann und welche Konsequenzen es für das Netzwerk und das Geschäft hat.

Wir geben außerdem einen Einblick in die Richtlinien von Rechenzentren gegen Spoofing sowie in praktische Verteidigungsstrategien und Linux-Konfigurationen zum Schutz.

Definition und Grundbegriffe

Was ist IP-Spoofing?

IP-Spoofing Das Fälschen der Quelladresse im IP-Paketheader wird als Fälschung bezeichnet; das heißt, der Absender des Pakets, das Feld Quell-IP Dadurch scheint das Paket von einer anderen IP-Adresse zu stammen. Aus Sicht der Netzwerkschicht geschieht dies einfach durch Ändern des Felds „Quell-IP“ im IP-Header.

Der Unterschied zwischen Spoofing und anderen Netzwerkangriffen

IP-Spoofing selbst ist ein Grundtechnik Es kann bei Angriffen wie Reflection/Amplification DDoS, SYN Flood mit gefälschten Quellen, BGP-Hijacking (auf Routing-Ebene) oder der Verschleierung der Spuren des Angreifers eingesetzt werden.

Es kann auch die Folge der Verwendung von Relays, Proxys oder infizierten Hosts sein.

Legitime und illegale Verwendung von IP-Spoofing

Legitime Verwendungen

• Penetrationstests und Bewertung der Netzwerkresilienz (mit ausdrücklicher Genehmigung des Netzwerkbetreibers und in einer isolierten Laborumgebung).
• Verkehrssimulation zum Testen von Überwachungssystemen und DDoS-Schutzlösungen.
• Sonderfälle von verteilten oder Multicast-Protokollen in internen Netzwerken, die eine manuelle Header-Anpassung erfordern (selten).
• Netzwerkforschung und akademische Anwendungen in einer kontrollierten Umgebung.

Wichtige Erklärung: Jede Nutzung außerhalb einer kontrollierten Umgebung oder ohne die ausdrückliche Genehmigung des Eigentümers kann als Straftat angesehen werden.

Illegale und böswillige Nutzungen

• Durchführung von DDoS-Angriffen durch Verbergen realer Ressourcen.
• Implementierung von Reflektion/Amplifikation zur Steigerung der Wirkung des Angriffs (z. B. DNS, NTP).
• Firewalls oder Intrusion-Detection-Systeme austricksen, um unberechtigten Zugriff zu ermöglichen.
• Verschleierung des Ursprungs von Cyberangriffen oder Vortäuschung von Netzwerkangriffen.

Gängige Methoden zur Implementierung von IP-Spoofing – Konzeptuelle Beschreibung

In diesem Abschnitt erläutern wir die technischen Strukturen und Abläufe lediglich konzeptionell, um ein Verständnis für eine angemessene Verteidigung zu ermöglichen. Es werden keine Schritt-für-Schritt-Anleitungen oder Hilfsmittel zur Durchführung des Angriffs bereitgestellt.

Ändern des Quell-IP-Felds im IP-Header

Der Angreifer kann dies auf der Benutzerebene oder mithilfe von Raw Sockets tun (Rohfassungen) Ändern Sie den IP-Header, um die Quelladresse zu fälschen. Diese Methode kommt wahrscheinlich auf Rechnern mit eingeschränktem Netzwerkzugriff oder auf Systemen mit Sicherheitslücken zum Einsatz.

Nutzung infizierter Hosts (Botnetz)

Viele der heutigen DDoS-Angriffe nutzen eine große Anzahl infizierter Geräte, um Datenverkehr zu senden. In diesem Fall können die tatsächlichen Quelladressen der Geräte real sein, aber der Angreifer kontrolliert sie, um das Zielsystem zu überlasten.

Reflexion/Verstärkung

Der Angreifer sendet ein Paket mit einer gefälschten Quelladresse (der Zieladresse) an einen öffentlichen Dienst (wie DNS oder NTP); dieser Dienst sendet eine größere Antwort an die gefälschte Adresse, was aufgrund der Anhäufung von Antworten an das Ziel zu einer Störung führt.

BGP-Hijacking und -Manipulation auf Routing-Ebene

Auf der Ebene zwischen Netzwerken können Angriffe BGP-Routen verändern oder Präfixe fälschen, um den Datenverkehr an das falsche Ziel umzuleiten. Dies ist eine weitere Form des Spoofings/Routings.

Folgen und Risiken

Für Infrastruktur und Wirtschaft

• Serviceausfälle und Umsatzeinbußen (insbesondere bei Finanz- und Glücksspieldienstleistungen).
• Sperrung von IP-Bereichen und Einschränkung des Zugriffs für echte Benutzer.
• Die Kosten für die Auslagerung der Verkehrsreinigung und die Inanspruchnahme von Reinigungsdiensten.
• Schädigung des Rufs und Verletzung von Service-Level-Agreements (SLAs).

Rechtlich und ethisch

Das unbefugte Spoofing kann rechtliche Konsequenzen nach sich ziehen. Verstöße gegen Netzwerkregeln und Rechenzentrumsverträge können zu Dienstunterbrechungen und zur Strafverfolgung des Serverbetreibers führen.

Welche Rechenzentren «unterstützen» Spoofing? Und welche Richtlinien sind üblich?

Allgemeine Rechenzentrumsrichtlinien

Die meisten seriösen Rechenzentren und Cloud-Service-Anbieter befolgen Anti-Spoofing-Richtlinien:

• Ausführung BCP38/BCP84 (Eingangsfilterung), um zu verhindern, dass Pakete mit gefälschten Absendern vom Netzwerkrand gesendet werden.
• Aktivieren Sie Anti-Spoofing auf Routern und Access-/Edge-Switches.
• Die Möglichkeit, Pakete mit externer Quell-IP von gemeinsam genutzten VMs zu senden, soll eingeschränkt werden.

Praktischer Tipp zu Rechenzentren

Seriöse und bekannte Rechenzentren (wie z. B. renommierte Cloud-Anbieter und große Racks) blockieren in der Regel IP-Spoofing auf der Zugriffsschicht und bieten Anti-DDoS- und sichere BGP-Dienste an.

Bei einigen kleineren Anbietern oder weniger wachsamen ISPs gibt es möglicherweise keine strengen Regeln, aber die Nutzung solcher Dienste zu Forschungs- oder Angriffszwecken wird nicht empfohlen und birgt rechtliche Risiken.

Unsere Unternehmensrichtlinien

Unser Unternehmen bietet Infrastruktur mit strengen Anti-Spoofing-Richtlinien, Anti-DDoS-Diensten, BGP-Filterung, CDN und Hochgeschwindigkeitsnetzwerken an über 85 Standorten weltweit.

Für forensische und Forschungszwecke können Sie sich mit dem Support-Team abstimmen, um eine isolierte und lizenzierte Testumgebung bereitzustellen.

IP-Spoofing-Erkennung und technische Indikatoren

Verhaltens- und Netzwerkindikatoren

• Ungewöhnlicher Unterschied in TTL Pakete im Verhältnis zum natürlichen Weg.
• Unterschied in TCP-Zeitstempel und Sequenzmuster zwischen Paketen, die offenbar von derselben IP-Adresse stammen.
• Eingehender Datenverkehr von einer IP-Adresse, aber die ARP/MAC-Zuordnung gehört zu einer anderen (in einem Layer-2-Netzwerk).
• Ein plötzlicher Anstieg des Datenverkehrs aus einer großen Anzahl von Quellen oder Reflexionsmustern (zum Beispiel eine große Anzahl von DNS-Antworten an dieselbe Adresse).

Werkzeuge und Protokolle zur Identifizierung

Gängige Tools und Protokolle zur Erkennung sind beispielsweise tcpdump/tshark, Zeek/Bro, Suricata oder Snort, NetFlow/sFlow und arpwatch.

Defensives Beispiel zum Erfassen von pcap und Überprüfen von TTL und TCP-Zeitstempel:

tcpdump -n -i eth0 'ip' -w suspicious.pcap

Gegenmaßnahmen und Verteidigung – Praktische Linux- und Netzwerkkonfigurationen

Linux-Kernel-Einstellungen

Folgende Werte finden Sie in /etc/sysctl.conf Setzen und dann sysctl -p Zum Aktivieren tippen.

net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

Erläuterung: rp_filter (Reverse Path Filtering) verhindert das Eindringen von Paketen mit inkonsistenten Rückpfaden und blockiert so viele einfache Spoofing-Angriffe.

iptables/nftables-Regeln zum Filtern interner Netzwerke

Für die eingehende Schnittstelle eth0, die mit dem Internet verbunden ist, verhindern die folgenden Regeln, dass Pakete, die vorgeben, von privaten Ports zu stammen, eintreffen:

iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP

Filterung am Edge/Router anwenden

• Implementierung von uRPF auf Edge-Routern und Implementierung von Präfixfiltern basierend auf BGP-Sitzungen.
• Verwendung von RPKI/ROA Zur Validierung von Präfixankündigungen und zur Verhinderung von BGP-Hijacking.
• Einstellung max-prefix und Routenfilter für Peers.

Anti-DDoS- und Scrubbing-Dienste

Edge-Scrubbing-Dienste (CDNs) können den Datenverkehr bereinigen und gefälschten oder reflektierten Datenverkehr von regulärem Datenverkehr trennen. Durch die Nutzung eines CDN und mehrerer geografischer Regionen wird der Datenverkehr verteilt und das Risiko von Spoofing-Angriffen verringert.

Wozu ist es gut? Wann sollte es verwendet (oder vermieden) werden?

Geeignet für

• Kontrollierte Forschung und Tests (mit Genehmigung).
• Simulation von Angriffen zur Stärkung der Verteidigung (prinzipiengeleitetes Red-Teaming).
• Testen von Überwachungs- und automatisierten Reaktionssystemen in einer isolierten Umgebung.

Ungeeignet/gefährlich für

• Nutzung im öffentlichen Internet ohne Genehmigung.
• Die Durchführung von Operationen, die Dienste Dritter beeinträchtigen könnten (z. B. die Nutzung öffentlicher Dienste zur Reflexion).
• Die Nutzung in Produktionsnetzwerken ohne Abstimmung hat rechtliche und wirtschaftliche Konsequenzen.

Empfehlung: Jeder Test muss in einer isolierten Umgebung mit der ausdrücklichen Genehmigung des Eigentümers durchgeführt werden, und die Risiken und der Umfang des Tests müssen vorher festgelegt werden.

Bewährte Verfahren für Organisationen und Servicemanager

• Durchführung BCP38 Am Rande des Netzwerks und in Zusammenarbeit mit Internetdienstanbietern, um zu verhindern, dass Pakete mit gefälschten Absendern versendet werden.
• Bereitstellung und Aktivierung von Anti-DDoS- und CDN-Diensten für Notfälle.
• Halten Sie ein Verfahren zur Reaktion auf Sicherheitsvorfälle bereit, das das Sammeln von PCAP- und NetFlow-Daten sowie die Analyse von Protokollen umfasst.
• Schulung von Teams im Umgang mit autorisierten Tests und im Aufbau isolierter Laborumgebungen für die Durchführung von Tests.
• Verwendung von RPKI, Präfixfilterung und sichere Peering-Vereinbarungen auf BGP-Ebene.

Abschluss

IP-Spoofing ist eine grundlegende Netzwerktechnik, die sowohl legitime Anwendungsbereiche für Tests und Forschung hat als auch bei böswilligen Angriffen eingesetzt werden kann.

Die Abwehr von Spoofing erfordert die Implementierung von Edge-Filtern, Kernel- und Firewall-Einstellungen, den Einsatz von Anti-DDoS-Lösungen und die Einhaltung bewährter Routing-Praktiken (RPKI/BCP38Die Erkennung ist durch die Analyse von TTL, TCP-Zeitstempeln, NetFlow und IDS/IPS-Tools möglich.

Verwandte Dienstleistungen aus Infrastruktursicht

Mit über 85 Standorten weltweit bietet unser Unternehmen Dienstleistungen an, die direkt dazu beitragen, die mit IP-Spoofing verbundenen Risiken zu reduzieren:

• Anti-DDoS-Server und Scrubbing-Dienst zur Reduzierung der Auswirkungen von Reflektionsangriffen.
• BGP-Netzwerk und erweiterte Filterung mit RPKI-Unterstützung.
• Dedizierte Trading-VPS und dedizierte Gaming-VPS mit Anti-Spoofing-Richtlinien zur Aufrechterhaltung von Stabilität und niedrigem Ping.
• CDN und über 85 Standorte zur Verteilung des Datenverkehrs und zur Abwehr von Angriffen.
• Hochleistungsfähige Cloud-Infrastruktur, Grafikserver (GPUs) und Hosting-Dienste für Forschungsprojekte in einer isolierten Umgebung (nach Abstimmung und Genehmigung).
• Ein technisches Supportteam, das Ihnen bei der Einrichtung von rp_filter, iptables/nftables und den besten Anti-Spoofing-Konfigurationen behilflich sein kann.