Inhaltsverzeichnis:

1.0 Einleitung
1.1 Sinn und zweck
2.0 Durchführung
3.0 Gegenmaßnahmen
4.0 Schlusswort
5.0 Quellen

1.0 Einleitung
Als IP-Spoofing wird das verfälschen der Source-IP-Adresse eines oder mehreren IP-Paketen bezeichnet.
Für gewöhnlich enthält ein IP-Paket die Source-IP-Adresse des Absenders und lässt sich im Normalfall
nicht ohne Weiteres manipulieren.
Durch das Manipulieren der Source-IP-Adresse im Header eines IP-Pakets lässt sich der Absender fälschen,
so dass der Empfänger-Rechner dann Antworten an den Angreifer versendet.

1.1 Sinn und Zweck
In manchen Firmennetzwerken ist es üblich das zwischen einzelnen Maschinen vertrauensbeziehungen bestehen,
so dass ein Benutzer sich ohne Benutzernamen und Passwort einloggen kann, wenn er von einer anderen
internen Maschine auf das Netzwerk zugreift und daher bereits auf einem anderen Rechner eingeloggt ist.
Indem nun eine Verbindung von einer vertrauenswürdigen Maschine gefälscht wird, könnte ein Angreifer
den Zielrechner angreifen, ohne sich zu authentifizieren.

2.0 Durchführung
Prinzipiell ist IP-Spoofing bereits auf einfachem Wege möglich.
Dies möchte ich nun anhand meines Home-Netzwerkes oberflächlich vorführen.
Ich habe in meinem Netzwerk hierfür 2 Maschinen:

1. Maschine:
OS: Windows 7 Ultimate
IP-Adresse: 192.168.1678.40
MAC-Adresse: 00:1F:BC:0D:86:82

2. Maschine:
OS: Debian Squeeze – Minimal Installation (Linux)
IP-Adresse: 192.168.178.2
MAC-Adresse: 00:04:75:76:23:c5

Die beiden Maschinen sind physikalisch miteinander über einen Switch hinweg gekoppelt.

Für den Beispielangriff habe ich auf meiner 2. Maschine nmap installiert.
nmap ist bekannt als Software zum durchführen von Portscans, allerdings kann nmap darüber hinaus auch einiges
mehr. Dazu gehört z.B. auch IP-Spoofing.

Wir gucken uns nun einmal die ARP-Tabellen beider Maschinen an:

1. Maschine:

2. Maschine:

Die 1. Maschine mit Windows 7 Ultimate kennt unter der IP-Adressse 192.168.178.2 die MAC-Adresse 00-04-75-76-23-c5.
Wie nicht anders vermutet.

Nun werden wir einen kleinen IP-Spoofing angriff auf den Windows 7 Client fahren.
Der Windows 7 Client soll unter der IP-Adresse 192.168.178.254 nun unseren Debian Client kennen, statt einem anderen
Rechner der rein spekulativ die Adresse nutzen würde.

Dazu führen wir auf der 2. Maschine mit Debian squeeze nun unser nmap mit bestimmten Parametern aus:

root@deb-server:~# nmap -e eth0 -PN -S 192.168.178.254 192.168.178.40

Mittels der Paramets -e bestimmten wir das Interface welches wir auf unserer Debian-Maschine nutzen möchten.
Mit dem Parameter -S bestimmen wir die Source-IP-Adresse die unsere IP-Pakete enthalten sollen.
Die darauf folgende IP-Adresse ist unsere Ziel-Adresse (Destination).

Hier sehen wir das nun ein Portscan durchgeführt wurde, allerdings mit der Source-Adresse 192.168.178.254.
Wenn wir uns nun unsere arp-Tabelle auf der 1. Maschine anschauen werden wir eine kleine Änderung sehen.

Unter der IP-Adresse 192.168.178.254 haben wir nun unserem Win7 Client die MAC-Adresse 00-04-75-76-23-c5 bekannt gemacht.
Somit sehen wir das IP-Spoofing bereits auf sehr einfachem Wege möglich ist.

3.0 Gegenmaßnahmen
Paketfilter sind eine mögliche Gegenmaßnahme gegen IP-Spoofing. Das Gateway zu einem Netzwerk sollte eine eingehende
Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen.
Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch
ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden,
deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IP-Adressen von externen Maschinen gespooft
werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internetdienstanbietern.

4.0 Schlusswort
Dieses Tutorial soll dazu dienen zu verstehen was sich hinter IP-Spoofing verbirgt und ebenso die Risiken von IP-Spoofing
objektiv aufzeigen. Außerdem erläutert dieses Tutorial ebenfalls Gegenmaßnahmen zum Selbschutz gegen IP-Spoofing.
Das Tutorial dient nicht dazu Leser zu Straftaten zu bewegen. Daher destanziere ich mich hiermit von allen Handlungen
die meine Leser durch dieses Tutorial zu irgendetwas evtl. ermutigt haben.

5.0 Quellen

http://de.wikipedia.org/wiki/IP-Spoofing (Stand 08.03.2012)