IP-Spoofing

Spoofing Definition

Spoofing ist ein Identitätswechsel eines Benutzers, Geräts oder Clients im Internet. Es wird oft während eines Cyberangriffs verwendet, um die Quelle des Angriffsverkehrs zu verschleiern.

Die häufigsten Formen des Spoofings sind:

• DNS-Server-Spoofing-Ändert einen DNS-Server, um einen Domainnamen an eine andere IP-Adresse umzuleiten. Es wird normalerweise verwendet, um Viren zu verbreiten.
• ARP-Spoofing-Verknüpft die MAC-Adresse eines Täters über gefälschte ARP-Nachrichten mit einer legitimen IP-Adresse., Es ist in der Regel verwendet in denial-of-service (DoS)-und man-in-the-middle-Angriffe.
• IP-Adresse Spoofing-Verschleiert die Ursprungs-IP eines Angreifers. Es wird normalerweise bei DoS-Angriffen verwendet.

Was ist IP-Adresse Spoofing

Computernetzwerke kommunizieren über den Austausch von Netzwerkdatenpaketen, die jeweils mehrere Header enthalten, die für das Routing und die Gewährleistung der Übertragungskontinuität verwendet werden. Ein solcher Header ist die „Quell-IP-Adresse“, die die IP-Adresse des Absenders des Pakets angibt.,

IP-Adresse Spoofing ist der Akt der Fälschung des Inhalts in der Quell-IP-Header, in der Regel mit randomisierten Zahlen, entweder die Identität des Absenders zu maskieren oder einen reflektierten DDoS-Angriff zu starten, wie unten beschrieben. IP-Spoofing ist eine Standardfunktion in den meisten DDoS-Malware-Kits und Angriffsskripten, was es zu einem Teil der meisten verteilten Denial-of-Service-DDoS-Angriffe der Netzwerkschicht macht.

IP-Adresse-Spoofing bei DDoS-Angriffen

IP-Adresse-Spoofing wird aus zwei Gründen bei DDoS-Angriffen verwendet: Um Botnet-Gerätestandorte zu maskieren und einen reflektierten Angriff durchzuführen.,

Maskierung von Botnetzgeräten

Ein Botnetz ist ein Cluster von Malware-infizierten Geräten, die von Tätern ohne Wissen ihrer Besitzer ferngesteuert werden. Sie können angewiesen werden, gemeinsam auf eine bestimmte Domäne oder einen bestimmten Server zuzugreifen und Tätern die Computer-und Netzwerkressourcen zur Verfügung zu stellen, um riesige Verkehrsfluten zu erzeugen. Solche Überschwemmungen ermöglichen es Botnetzbetreibern (auch bekannt als Shepherds), die Ressourcenkapazität ihres Ziels zu maximieren, was zu Serverausfällen und Netzwerksättigung führt.,

Botnetze bestehen typischerweise entweder aus zufälligen, geografisch verteilten Geräten oder Computern, die demselben kompromittierten Netzwerk angehören (z. B. gehackte Hosting-Plattform).

Durch die Verwendung gefälschter IP-Adressen, um die wahren Identitäten ihrer Botnet-Geräte zu maskieren, zielen Täter darauf ab:

1. Entdeckung und Implikation durch Strafverfolgungsbehörden und forensische Cyber-Ermittler zu vermeiden.
2. Verhindern Sie, dass Ziele Gerätebesitzer über einen Angriff informieren, an dem sie unwissentlich teilnehmen.,
3. Umgehen Sie Sicherheitsskripte, Geräte und Dienste, die versuchen, DDoS-Angriffe durch die Blacklist angreifender IP-Adressen zu mildern.

Reflektierte DDoS

Ein reflektierter DDoS-Angriff verwendet IP-Spoofing, um gefälschte Anforderungen zu generieren, angeblich im Namen eines Ziels, um Antworten von unter geschützten Zwischenservern hervorzurufen. Ziel des Täters ist es, seine Traffic-Ausgabe zu verstärken, indem er große Antworten von viel kleineren Anfragen auslöst.,

Häufige reflektierte DDoS-Angriffsmethoden umfassen:

• DNS-Verstärkung – Eine BELIEBIGE Abfrage, die von der gefälschten Adresse eines Ziels stammt, wird an zahlreiche ungesicherte DNS-Resolver gesendet. Jede 60-Byte-Anforderung kann eine 4000-Byte-Antwort auslösen, sodass Angreifer die Datenverkehrsausgabe um bis zu 1:70 erhöhen können.
• Schlumpfangriff – Eine ICMP-Echoanforderung wird von der gefälschten Adresse eines Ziels an ein Zwischenübertragungsnetzwerk gesendet, wodurch Antworten von jedem Gerät in diesem Netzwerk ausgelöst werden. Der Verstärkungsgrad basiert auf der Anzahl der Geräte, an die die Anforderung gesendet wird., Beispielsweise führt ein Netzwerk mit 50 angeschlossenen Hosts zu einer Verstärkung von 1:50.
• NTP amplification-Eine get Monlist-Anforderung, die die gefälschte IP-Adresse eines Ziels enthält, wird an einen unsicheren NTP-Server gesendet. Wie bei der DNS-Verstärkung löst eine kleine Anfrage eine viel größere Antwort aus, was ein maximales Verstärkungsverhältnis von 1:200 ermöglicht.

IP-Adresse-Spoofing bei Angriffen auf Anwendungsschicht

Für den Aufbau von Anwendungsschicht-Verbindungen müssen der Host und der Besucher einen Prozess der gegenseitigen Überprüfung durchführen, der als TCP-Drei-Wege-Handshake bezeichnet wird.,

Der Prozess besteht aus dem folgenden Austausch von Synchronisations – (SYN) und Bestätigungspaketen (ACK):

1. Der Besucher sendet ein SYN-Paket an einen Host.
2. Host antwortet mit einem SYN-ACK.
3. Der Besucher bestätigt den Empfang des SYN-ACK, indem er mit einem ACK-Paket antwortet.

Quell-IP-Spoofing macht den dritten Schritt dieses Prozesses unmöglich, da es dem Besucher verbietet, jemals die SYN-ACK-Antwort zu erhalten, die an die gefälschte IP-Adresse gesendet wird.,

Da alle Angriffe der Anwendungsschicht auf TCP-Verbindungen und das Schließen der 3-Wege-Handshake-Schleife angewiesen sind, können nur DDoS-Angriffe der Netzwerkschicht gefälschte Adressen verwenden.

Spoofing von IP-Adressen in der Sicherheitsforschung

In der Sicherheitsforschung werden häufig IP-Daten verwendet, die von Angriffen auf Netzwerkebenen abgeleitet sind, um das Herkunftsland von Angreiferressourcen zu identifizieren. Spoofing von IP-Adressen macht diese Daten jedoch unzuverlässig, da sowohl die IP-Adresse als auch die Geolokalisierung von böswilligem Datenverkehr maskiert sind.,

Wenn Sie Berichte lesen, die sich ausschließlich auf Netzwerk-IP-Daten stützen, müssen Sie sich dieser Einschränkungen bewusst sein. Beispielsweise kann ein Bericht eines Minderungsanbieters, der nicht vor Angriffen auf die Anwendungsschicht schützt, nicht verwendet werden, um genaue Standorte von Botnet-Geräten bereitzustellen.

Als Ergebnis kann jede wesentliche Forschung in Botnet Herkunftsländer nur auf Anwendungsschicht Angriffsdaten basieren.

Anti-Spoofing im DDoS— Schutz

Wie bereits erwähnt, wird IP-Adressen-Spoofing häufig verwendet, um grundlegende Sicherheitsmaßnahmen zu umgehen, die auf IP-Blacklisting beruhen-das Blockieren von Adressen, von denen bekannt ist, dass sie zuvor an einem Angriff beteiligt waren.

Um dies zu überwinden, setzen moderne Minderungslösungen auf Deep Packet Inspection (DPI), die eine granulare Analyse aller Paketheader und nicht nur der Quell-IP-Adresse verwendet. Mit DPI sind Minderungslösungen in der Lage, den Inhalt verschiedener Paketheader zu untersuchen, um andere Metriken aufzudecken, um böswilligen Datenverkehr zu identifizieren und herauszufiltern.,

Ein Minderungsdienst kann beispielsweise DPI verwenden, um einen DDoS-Verkehrsstrom zu beobachten und einen Zustrom von Paketen mit verdächtig identischen TTLs und Headern mit Gesamtlänge zu identifizieren, die nicht mit einem normalen Muster übereinstimmen. Durch die Verfolgung solcher kleinen Anomalien kann der Dienst ein detailliertes Profil eines angreifenden Pakets erstellen und damit böswilligen Datenverkehr aussortieren, ohne den regulären Besucherfluss zu beeinträchtigen.

Der Nachteil von DPI ist, dass der Prozess sehr ressourcenintensiv ist., Wenn DPI in großem Maßstab ausgeführt wird, z. B. während eines DDoS—Angriffs, führt dies wahrscheinlich zu Leistungseinbußen-manchmal reagiert das geschützte Netzwerk sogar fast vollständig nicht mehr.

Um dies zu überwinden, wird Imperva Scrubbing von einer speziell entwickelten Minderungshardware (Codename Behemoth) ausgeführt, die DPI gegen ~100 Millionen Pakete pro Sekunde ausführt.

Ein Cluster von Behemoth Scrubbers mildert einen 470 Gbps DDoS—Angriff-einer der größten auf Rekord.,

Jeder Behemoth Scrubber wurde von Grund auf neu aufgebaut und bietet eine granulare Sichtbarkeit aller eingehenden Daten, wodurch sichergestellt wird, dass kein Angriffsverkehr in Ihr Netzwerk gelangt. In der Zwischenzeit fließt Ihr gültiger Besucherverkehr ungehindert durch.

Erfahren Sie mehr über Imperva DDoS-Schutz-services.