Angriffsvektor IP-Spoofing

Die wichtigsten Angriffsformen

Non-Blind Spoofing: Diese Angriffsform wird "Non-Blind" genannt, weil sich der Angreifer dabei im gleichen Subnetz wie das Opfer befinden muss. Der Trick dabei ist, dass die IP-Pakete in diesem Fall auch an der Maschine des Angreifers vorbeikommen - und der kann dann die Sequenz- und Acknowledge-Nummern einfach aus den Paketen sniffen. Das macht es dem Angreifer leichter, weil er diese Nummern nicht raten oder berechnen muss.

Mit dieser Form ist es dem Angreifer möglich, eine Session zu übernehmen, und dadurch zuvor etablierte Authentifizierungsmaßnahmen der angegriffenen Maschine zu umgehen. Effektiv kann man mit dieser Angriffsmethode etwaige Passwort-Abfragen und Ähnliches bei Zugriffen auf Ressourcen im LAN umgehen.

Blind Spoofing: Das Blind Spoofing stellt eine aufwendigere Angriffsform dar. Der Angreifer befindet sich dabei außerhalb des Subnetzes des Angegriffenen und kann daher die Seq/Ack-Nummern nicht einfach sniffen.

Früher wurden die Nummern mit relativ einfachen Mechanismen erzeugt: Der Angreifer schickte einfach Pakete an die angegriffene Maschine und sammelte dabei aus den Antworten Seq/Acks ein. Da die Algorithmen zum Erzeugen der Nummern relativ einfach gestrickt waren, konnte man sie auf Basis einer gewissen Datenmenge ermitteln - und dann mit der Zielmaschine kommunizieren.

Heute erzeugen praktisch alle Betriebssysteme diese Nummern aus Zufallszahlen: Dadurch wird die Vorhersage zwar erschwert, aber letztlich ist es auch hier wohl nur eine Frage der Zeit, bis Mittel und Wege gefunden werden. Insbesondere, da manche Algorithmen für die Erzeugung von Zufallszahlen nicht wirklich "zufällig" sind.

Auf Grund der momentanen Schwierigkeiten bei der Vorhersage der richtigen Nummern ist diese Angriffsart sehr selten.