IP-Spoofing
IP-Spoofing bezeichnet in Computernetzen das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse.Der Header jedes IP-Pakets enthält dessen Quelladresse. Dies sollte die Adresse sein, von der das Paket gesendet wurde. Indem er den Header so fälscht, dass er eine andere Adresse enthält, kann ein Angreifer das Paket so aussehen lassen, als ob das Paket von einer anderen Maschine gesendet wurde. Dies kann von Eindringlingen dazu genutzt werden, Sicherheitsmaßnahmen wie z. B. IP-Adressbasierte Authentifizierung im Netzwerk auszutricksen oder zum Verschleiern des eigenen Rechners dienen.
Diese Art von Angriff ist am effektivsten, wenn zwischen den Maschinen in einem Netzwerk Vertrauensbeziehungen bestehen. In manchen Firmennetzen ist es durchaus üblich, dass interne Systeme sich gegenseitig vertrauen, so dass ein Benutzer sich ohne Benutzernamen und Passwort einloggen kann, wenn er von einer anderen internen Maschine auf das Netzwerk zugreift und daher bereits auf einem anderen Rechner eingeloggt ist. Indem nun eine Verbindung von einer vertrauenswürdigen Maschine gefälscht wird, könnte ein Angreifer den Zielrechner angreifen, ohne sich zu authentifizieren.
Einige Protokolle auf höheren Schichten stellen eigene Maßnahmen gegen IP-Spoofing bereit. Das Transmission Control Protocol (TCP) benutzt beispielsweise Sequenznummern, um sicherzustellen, dass ankommende Pakete auch wirklich Teil einer aufgebauten Verbindung sind. Die schlechte Implementation der TCP-Sequenznummern in vielen älteren Betriebssystemen und Netzwerkgeräten führt jedoch dazu, dass es dem Angreifer unter Umständen möglich ist, die Sequenznummern zu erraten und so den Mechanismus zu überwinden. Alternativ könnte er versuchen, zum Man in the Middle zu werden.Gegenmaßnahmen
Paketfilter sind eine mögliche Gegenmaßnahme gegen IP-Spoofing. Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von Außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden, deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IPs von externen Maschinen gespooft werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internet Service Providern: Wenn jeder ISP konsequent ausgehende Pakete filtern würde, die laut ihrer Quelladresse nicht aus dem eigenen Netz stammen, wäre massenhaftes IP-Spoofing (häufig in Verbindung mit Denial of Service-Attacken) ein wesentlich geringeres Problem als es heute im Internet ist.