Spoofing

Als Spoofing (Manipulation, Verschleierung) bezeichnet man verschiedene Täuschungsmethoden um in Netzwerken eine andere Identität vorzugeben und seine eigene Identität damit zu verschleiern.

MAC Spoofing

MAC:
Eine MAC-Adresse (Media Access Control) ist eine einmalige eindeutige Hardware- Adresse einer Netzwerkkarte und dient zur Identifizierung des Systems. Damit diese im Netzwerk, zum Beispiel über Ethernet, Pakete senden und empfangen kann. Die MAC- Adresse ist 6 Byte groß, also 48 Bit und wird wie folgt dargestellt: xx:xx:xx:xx:xx:xx. Diese 48 Bit sind in zwei 24 Bit Blöcke aufgeteilt. Der erste Block besteht aus der von der IEEE vergebenen Herstellerkennung, der zweite Block ist eine vom Hersteller vergebene Seriennummer.

MAC Spoofing:
Ändern kann man die MAC-Adresse zum Beispiel mit dem Programm SMAC. Beim Versenden eines Datenpakets wird diesem nun die geänderte MAC-Adresse als Quell- MAC-Adresse eingetragen. Eine gespoofte MAC-Adresse kann zu administrativen Zwecken (Sicherheitstest, Fehlersuche) oder zur Vorbereitung weiterer Verschleierungstechniken genutzt werden. Da die Eindeutigkeit der originalen MAC- Adresse nicht mehr gegeben ist, verschafft Mac-Spoofing somit größere Anonymität und erschwert die Identifikation eines Angreifers. MAC-Spoofing kann dazu eingesetzt werden um in ein WLAN einzudringen was nur bestimmte MAC-Adressen zulässt.

ARP-Spoofing

ARP:
ARP (Address Resolution Protocol) ist dazu da eine IP-Adresse in eine MAC-Adresse zu Übersetzen dies funktioniert jedoch nur im gleichen Subnet. Es wird ein ARP-Request per Broadcast an alle im Subnet befindlichen Systeme gesandt. Das System mit der passenden IP-Adresse schickt an den Sender eine ARP-Response Meldung in der es seine MAC-Adresse eingetragen hat. Die Zuordnung IP zu MAC wird temporär im ARP- Cache der Beteiligten gespeichert. Dies geschieht um ständige Nachfragen zu minimieren.

ARP-Spoofing:
Das ARP-Spoofing wird genutzt um einen falschen Eintrag in ARP-Cache eines Systems zu erzeugen. Das kann sich folgender maßen zutragen:
System A ist im gleichen Subnet wie das System B und System C. B kennt die IP-Adresse von C aber nicht die dazu gehörige MAC-Adresse. Deshalb fragt B via ARP-Request nach. Nun meldet A per ARP-Response seine MAC-Adresse an B. Damit muss A aber schneller sein als C, sonst wird die MAC-Adresse von C verwendet.

A hat verschiedene Möglichkeiten dazu, entweder ist es Physisch näher an B dran, so dass seine Antwortzeit kürzer ist als die von C, oder er muss C daran hindern zu antworten, bzw. das Antworten durch C verzögern, wie z.B. mit einer DoS-Attacke. Es werden alle Pakete, die B zu C senden möchte jetzt an A geschickt.

Ein Programm, welches man hierzu nutzen kann, ist ARPSpoof (Bestandteil von dsniff). Mit aktiver IP Weiterleitung (z.B. mit Fragrouter) ist es A möglich die Daten von B an C weiter zuleiten.

IP-Spoofing

IP:
Die IP-Adresse hat 32 Bit und ist in 4 Segmente a 8 Bit unterteilt, die man Oktette nennt. Sie wird für den Menschen durch "Dotted decimal notation" (Dezimalschreibweise mit Punkt) leichter lesbar geschrieben (01010101101100011111110011110111 = 85.177.252.247). Wenn man die postale Anschrift eines Wohnblocks für IP (Internet Protocol) und MAC Adressen nimmt, ist die IP-Adresse die PLZ, der Straßenname, die Hausnummer und der Name des Empfängers. Wohingegen die Mac-Adresse das Stockwerk und die richtige Tür wäre. Sie sorgt dafür, dass das Paket an die richtige Adresse kommt.

IP-Spoofing:
Wie beim MAC-Spoofing wird beim IP-Spoofing die Adresse durch eine andere ersetzt. Dies kann eine beliebige existierende IP-Adresse eines Systems sein oder eine, die nicht verwendet wird. Eine bidirektionale Kommunikation ist mit IP Spoofing nicht möglich, da die Antwort immer an die Source IP gesendet wird. Sie kann aber dazu genutzt werden, ein System mit Anfragen zu überfluten und so eine DoS-Situation zu schaffen.

Ein Beispiel:
Bei der "TCP Sequence Number Attack" sendet System A eine Verbindungsanfrage (SYN) mit der gespooften IP von System B an System C. C antwortet mit (SYN ACK) an B. Damit B nicht antworten kann und damit die Verbindung per (RST) beendet, muss er daran gehindert werden, z.B. mit einer DoS-Attacke. Jetzt muss A die Antwort von C mit (ACK) bestätigen, dazu braucht er die von C benutzte ACK Sequenznummer mit der die Antwort für B versehen war. Die Sequenznummer wird von C nach einem bestimmten Muster erzeugt. Diese kann A erraten wenn er zuvor mehrmals mit C, unter einer IP, mit der er auch die entsprechende Antwort erhält, eine unprivilegierte Verbindung aufgebaut hat und so einige Sequenznummern kennt. Wenn A dies geschafft hat, und die Rechte von B auf C durch die IP-Adresse authentifiziert werden, kann A mit den Rechten von B Daten an C senden und je nach System und Konfiguration ein Programm per Sicherheitslücke einschleusen.

DNS-Spoofing

DNS:
Eine IP-Adresse, z.B. 192.168.42.42, kann sich ein Mensch schlechter merken als einen exemplarischen Namen wie z.B. www.paulsen-it.de. Dieser exemplarische Name wird als Domain bezeichnet. Per DNS (Domain-Name-Service) werden Domains zu ihren dazugehörigen IP-Adressen aufgelöst. Man möchte auf die Seite www.bbs-winsen.de, der Browser fragt bei einem DNS Server nach, dieser wurde ihm beim Verbindungsaufbau vom ISP (Internet Service Provider) bekannt gemacht oder er verwendet diejenigen, die in seinen Einstellungen von Hand eingetragen wurden. Dieser löst die Domain auf und schickt die entsprechende IP wieder an den Browser zurück. Nun kann der Browser die Web Seiten von
www.paulsen-it.de bei dem entsprechenden Server anfordern.

DNS-Spoofing:
Der Angreifer A hat auf seinem Server AS einen täuschend echten Nachbau eines Internet Auftritts z.B. einer Bank erstellt. Nun muss der Angreifer Opfer auf seine Seite locken damit er Benutzernamen und Passwörter bekommt. Dies ist auf mehreren Wegen möglich. Er kann per Malware den DNS-Cache eines Systems manipulieren lassen, so dass das Opfer wenn es www.meinebank.de in den Browser eintippt auf den Server des Angreifers verwiesen wird. Auch ist es möglich, da DNS normalerweise über UDP (User Datagram Protocol) und ohne Authentifikation abläuft, sich als korrekter DNS-Server auszugeben. Auch hier muss die Antwort von A schneller beim Opfer sein als die des echten DNS- Servers. Desweiteren besteht die Möglichkeit durch Protokollschwächen einen Eintrag auf einem DNS-Server selbst zu verändern. So dass der DNS-Server eine falsche IP für eine Domain sendet. Früher haben DNS-Server Antworten auf Nachfragen ungeprüft übernommen. Sei es durch Antworten mit gespoofter IP oder ein bereits kompromittierter DNS-Server hat ihm neben den gefragten DNS-Daten weitere Domain IP Paare untergeschoben (dies ist bei aktueller DNS-Serversoftware nicht mehr möglich).

E-Mail-Spoofing

Beim E-Mail-Spoofing wird der E-Mail-Header gefälscht, sodass die Nachricht scheinbar von einer anderen Quelle bzw. eines anderen Absenders stammt als der tatsächliche Ursprung. Das E-Mail Spoofing wird oft von Spammern benutzt, um die Empfänger dazu zu verleiten, Spam-Mails zu öffnen und sogar darauf zu antworten.

Möglich ist Mail-Spoofing, da das Simple Mail Transfer Protocol (SMTP), das Hauptprotokoll in E-Mail-Übertragungen, keinen Authentifizierungsmechanismus besitzt. Jemand mit entsprechenden Kenntnissen kann eine Verbindung zum SMTP Server aufbauen und ihn für die Übertragung von Nachrichten missbrauchen.

Ein Beispiel mit Telnet:

1. telnet beliebiger-anonymer-smtp-server 25 (verbinden mit smtp Server über tcp port 25)
2. HELO ID (Identifizierung HELO mit beliebiger ID)
3. MAIL FROM: < absenderadresse@gefaked >
4. RCPT TO: < empfaenger@dermail >
5. DATA
6. subject: Betreff
7. Nun können sie ihre Nachricht eingeben.
8. . (Eingabe der Daten ist beendet)
9. QUIT (durch QUIT wird die Mail versendet)