Fakten verstehen, Irrtümer beheben

IP-Adresse fälschen und anonym surfen

Viele Surfer haben gerüchteweise davon gehört, den Gerüchten glauben geschenkt, und wollen es nun auch: Die eigene IP-Adresse fälschen, und dann mit der gefälschten Adresse anonym surfen. So einfach ist das aber nicht. Um genau zu sein: Das ganze ist einfach nur Unsinn. Dieser Bericht erklärt warum und erläutert nebenher auch noch gleich, wie der Idle-Scan funktioniert.

Der Weg zum Verstehen des IP-Spoofing führt über Fyodors Idle-Scan. Dabei handelt es sich um eine Scanning-Methode die sich das IP-Spoofing zu Nutze macht. Sinn des Idle-Scans ist es, einen anderen Rechner zu scannen, ohne das dieser Rechner eine Möglichkeit hat selbiges zu bemerken - oder gar den scannenden Rechner zu finden.

Der Trick dabei: Der gescannte Rechner wird gescannt, ohne dass er auch nur ein einziges Paket mit der IP-Adresse des scannenden Rechners erhält.

Um zu verstehen wie das geht, muss man zunächst wissen, das jedes IP-Paket eine .eindeutige. Nummer hat: Die fragment identification number (IP-ID). Bei älteren Betriebssystemen war es gängige Praxis, dass diese Nummer einfach für jedes Paket um eins hochgezählt wurde. Heute ist das anders, daher geht der Idle-Scan auch nur mit Hilfe eines Rechners der ein solches altes System einsetzt.

Ferner muss man wissen wie eine TCP Verbindung aufgebaut wird. Dabei sendet der Rechner der eine Verbindung aufbauen will zunächst ein SYN Paket an den anderen Rechner. Dieser andere Rechner antwortet nun auf eine von zwei Arten: Ist der Port an den das SYN Paket gesendet wurde offen, dann sendet der Rechner ein SYN/ACK Paket zurück. Ist der Port geschlossen, dann wird RST Paket zurückgesendet. Erhält ein Rechner ein Paket mit dem er nichts anfangen kann, dann sendet er ebenfalls ein RST zurück.

Der Idle-Scan nutzt diese Vorraussetzungen nun geschickt aus. Dazu sucht sich der Angreifer zunächst einen Rechner bei dem er die Reihenfolge der IP-ID Nummern vorhersagen kann. Dieser Rechner wird der Zombie Rechner des Angreifers - er wird als Hilfsmittel beim Scan eingesetzt.

Im ersten Schritt des Scans sendet der Angreifer nun ein SYN Paket an den Zombie, und der antwortet mit einem RST Paket. Das enthält eine IP-ID, und diese Nummer merkt sich der Angreifer.

Im zweiten Schritt sendet der Angreifer ein SYN Paket an den angegriffenen Rechner. Dabei wird die IP-Adresse gefälscht: Der Angreifer verwendet die IP-Adresse des Zombie, dessen Adresse steht also im SYN-Paket als Absender.

Der angegriffene Rechner denkt also, der Zombie sei sein Kommunikationspartner. Vom Angreifer sieht er nichts. Also sendet er auch sein Antwortpaket an den Zombie. Das Antwortpaket besteht nun aus einem von zwei möglichen Paketen: Es ist entweder ein SYN/ACK (das bedeutet, der untersuchte Port ist geöffnet), oder es handelt sich um ein RST. In diesem Fall ist der Port also geschlossen.

Die Antwort landet aber natürlich beim .Zombie.-Rechner, der Angreifer sieht diese Antwort also nicht. Stellt sich die Frage: Wie kommt er nun an die gewünschte Information?

Artikel kommentieren