Angriffsvektor IP-Spoofing

Typisches DoS-Beispiel: Syn-Flooding

Ein typischer DoS-Angriff per IP-Spoofing ist das Syn-Flooding. Normalerweise wird eine Kommunikationssitzung mit drei Schritten eingeleitet: Der Client sendet SYN, der Empfänger antwortet mit SYN-ACK und der Client bestätigt das mit ACK. Was aber, wenn der Client ein Angreifer ist und mit IP-Spoofing arbeitet?

In diesem Fall wird der angegriffene Rechner das ACK nie erhalten - die Verbindung ist also halb geöffnet. Es kann aber nur eine beschränkte Anzahl halb offener Verbindungen geben: Bei Überschreiten dieser Grenze kann der Server keine weiteren Verbindungen mehr annehmen und ist effektiv für andere Hosts im Internet nicht mehr erreichbar: Der Server wurde mit Syn-Anforderungen überflutet. Derlei Angriffe sind allerdings nicht mehr ganz neu und werden automatisch von gängigen Firewalls blockiert und auch von Server-Programmen ohne weitere Maßnahmen erkannt und umgangen.

Leben ohne Antwort: Anonymisieren nicht möglich

Beim reinen IP-Spoofing fälscht der Angreifer die Quelladresse eines Pakets: Das bedeutet natürlich, dass er keine Antworten erhält! Diese Antworten werden nämlich an den Rechner mit der IP-Adresse gesendet, die der Angreifer in seinen Paketen verwendet hat.

Mit einer gespooften IP-Adresse lässt sich also keine normale Internet-Verbindung aufbauen. Was mit dem vielfach geäußerten Gerücht aufräumt, es wäre möglich, mit Hilfe von IP-Spoofing anonym im Internet zu arbeiten. "Aufhalten" kann man sich vielleicht anonym - aber echtes Arbeiten dürfte sich ohne ein einziges Antwortpaket der anderen Hosts doch ein wenig schwierig gestalten.