Zum Inhalt springen

Startseite > Datenrettung Lexikon > Anfangsbuchstabe A > Address-Spoofing

Address-Spoofing Definition & Begriffserklärung

Address-Spoofing: Manipulierte IP-Absenderadresse in Netzwerken (IP-Spoofing)Wenn es um das Versenden von Daten in Computernetzwerken geht, spielt die IP-Adresse eine herausragende Rolle. Die IP eines Computers oder eines Netzwerkgeräts kann als so etwas wie die Hausnummer oder die Anschrift angesehen werden, unter der Datenpakete das Gerät erreichen können. Das gilt nicht nur für Heimnetzwerke, sondern selbstverständlich auch bei der Kommunikation über das Internet. Da durch die IP eine Identifikation des Absenders möglich wird, kann eine Manipulation dieser Adresse erhebliche Auswirkungen haben. In der Praxis wird dieses Vorgehen als IP-Spoofing oder Address-Spoofing bezeichnet. Hierunter wird das Versenden von IP-Paketen unter gefälschter IP-Adresse verstanden.

Wichtig: Address-Spoofing betrifft sowohl IPv4 als auch IPv6. Bei beiden Protokollen kann die Quelladresse im IP-Header manipuliert werden. Besonders risikobehaftet ist dies bei verbindungslosen Protokollen wie UDP und ICMP, da hier keine verlässliche Rückkanalprüfung stattfindet.

  • Ziele von Address-Spoofing: Verschleierung der Herkunft, Umgehung IP-basierter Sperren, Reflektions- und Amplifikationsangriffe, Verwässerung von Protokollen und Logdaten.
  • Betroffene Umgebungen: Unternehmensnetze, Rechenzentren, Cloud-Workloads, IoT- und OT/ICS-Infrastrukturen.
  • Folgen: Unterwanderung von Access-Controls, Denial-of-Service-Szenarien, Kompromittierung von Diensten und Reputationsschäden.
Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Wie das Address-Spoofing funktioniert

Damit verstanden werden kann, die das IP-Spoofing vorgenommen werden kann, muss zuerst erklärt werden, wie Datenpakete in Netzwerken aufgebaut sind. Bei der Übertragung von Daten in Computernetzwerken wie dem Internet werden die Daten nicht in einem Stück, sondern unterteilt in eine Reihe von Paketen versendet. Bei diesem Vorgehen ist es notwendig, dass die einzelnen Pakete beim Empfänger später in der richtigen Reihenfolge wieder zusammengesetzt werden.

Die einzelnen Pakete können dabei sehr unterschiedliche Wege durch die Computernetzwerke quer über den gesamten Globus nehmen, bevor sie sich beim Empfänger einfinden. Damit klar ist, welches IP-Paket zu welchem Absender gehört bzw. zu welcher Quelle, werden die Pakete mit Kopfdaten versehen, zu denen auch die Quelladresse bzw. die IP-Adresse des Absenders gehört. Anhand dieser Kopfdaten ist es also möglich, das Gerät zu bestimmen, von dem die Daten versendet wurden. Sollte diese Information manipuliert werden, kann die Quelle deshalb verschleiert werden. Hacker sind in der Lage, diese Informationen im Kopfbereich eines IP-Pakets gezielt zu verändern. Der Empfänger erhält dann den Eindruck, dass das Paket von einer anderen Quelle und damit von einem anderen Computer stammt, als dieses tatsächlich der Fall ist.

Technischer Hintergrund: Im IP-Header sind u. a. Quelle und Ziel, TTL, Fragmentierung und Prüfsummen definiert. Beim Address-Spoofing wird gezielt das Feld für die Quell-IP verändert. Da Router die Weiterleitung primär anhand der Zieladresse treffen, passiert ein gefälschtes Paket in der Regel das Netz – die Antworten gehen jedoch an die echte (gefälschte) Quelladresse, nicht an den tatsächlichen Absender.

  • Besonders anfällig: UDP/ICMP (keine Zustandsprüfung), ältere oder falsch konfigurierte Dienste.
  • Schwieriger, aber möglich: Manipulation von TCP-Flüssen (z. B. Off-Path-Injektion bei schlechten Zufallszahlen oder Sicht auf den Traffic).
  • IPv6-Aspekte: Extension-Header und Fragmentierung erfordern zusätzliche Filterregeln; moderne Netzwerke verwenden RA-Guard und strikte IPv6-ACLs.

Praxisbezug: Ein Angreifer kann so tun, als kämen Pakete aus einem internen Netz oder von einer RZ-eigenen IP. Ohne wirksame Quelladressvalidierung wird das Vertrauen in IP-basierte Policies ausgenutzt.

Warum das IP-Spoofing vorgenommen wird

Für das IP-Spoofing kann es unterschiedliche Gründe geben. Einer der wichtigsten ist sicherlich, dass viele Netzwerke eine Authentifizierung von Teilnehmern auf Basis der IP-Adresse vornehmen. Wurde ein Teilnehmer für ein Netzwerk gesperrt, werden IP-Pakete mit seiner spezifischen Adresse herausgefiltert. Hacker können sich dennoch zu diesen Netzwerken Zugang verschaffen, indem sie ihre wahre IP-Adresse per Spoofing verschleiern. Sicherheitsmaßnahmen von Netzwerkadministratoren können auf diese Weise ausgeschaltet werden, weshalb das IP-Spoofing ein großes Sicherheitsrisiko für jedes Netzwerk darstellt. Zu beachten ist hier jedoch, dass eine solche Manipulation auf bestimmte Typen von Netzwerken beschränkt ist. So ist das Adress-Spoofing beispielsweise nicht bei TCP-Verbindungen möglich.

TCP ist ein weit verbreitetes Internetprotokoll, gerade auch für den Zugang zum Internet und kann nicht manipuliert werden, da die Antwortpakete eines gefälschten Absenders dennoch an den richtigen Rechner gesendet werden. Es ist hier also nicht möglich, die Rechnerkommunikation auf einen anderen Computer umzulenken. Allerdings ergibt sich auch in diesen Netzwerken eine Manipulationsmöglichkeit in Form des Sniffings, etwa dann, wenn es sich um ein geswitchtes Netzwerk handelt, in dem der Angreifer die Antwortpakete sehen kann. Beim Sniffing handelt es sich um eine Form der Netzwerkanalyse, bei der Datenpakete ausgelesen werden können.

Aktualisierung und Einordnung: Vollständige TCP-Sitzungen mit gefälschter Quelladresse sind in modernen Stacks durch zufällige Initial Sequence Numbers (ISN) und den 3-Wege-Handshake stark erschwert. Blind Spoofing ist heute praktisch nur unter sehr speziellen Bedingungen möglich. Dennoch wird TCP für Angriffe genutzt, z. B. bei SYN-Floods mit gefälschten Quellen oder bei Injektionen, wenn der Angreifer den Verkehr mitlesen kann.

  • Typische Motivation: Umgehen von IP-Blocklisten, Tarnung der Herkunft, Auslösen von Reflektions-/Amplifikationsangriffen, Erzeugen irreführender Logs, Umgehung von Geofencing und Rate Limits.
  • Moderne Protokolle: QUIC/HTTP/3 (über UDP) setzt auf kryptografische Handshakes und Adressvalidierung (Tokens), was die Ausnutzung durch Spoofing erschwert, aber keine Netzfilter ersetzt.
  • Anwendungsseitige Absicherung: TLS/DTLS und gegenseitige Authentifizierung verhindern Session-Übernahmen, auch wenn die Quell-IP gefälscht ist.

Spoofing ist eine große Gefahr gerade in Firmennetzwerken

Besonders groß ist die Gefahr also dann, wenn zwischen den einzelnen Rechnern im Netzwerk ein gewisses Vertrauensverhältnis besteht, wie es etwa bei Firmenrechnern der Fall ist. So kann etwa in firmeninternen Netzwerken häufig miteinander kommuniziert werden, ohne dass ein Login per Benutzername und Passwort erfolgen müsste. Gerade hier ist ein Angriff auf Zielrechner möglich, ohne dass zugleich eine Authentifizierung des Rechners erfolgen müsste, von dem der Angriff gestartet wird. Deshalb ist es gerade in Firmennetzwerken wichtig, dass entsprechende Gegenmaßnahmen ergriffen werden.

Zu den wichtigsten Gegenmaßnahmen gehören dabei die Paketfilter. Paketfilter können einzeln eingerichtet werden oder Teil einer größeren Firewall sein und sorgen dafür, dass der eingehende und ausgehende Datenverkehr nach bestimmten Kriterien gefiltert wird. Fremde Datenpakete, die nicht authentifiziert oder gewünscht sind, können ausgeschlossen werden. Eine der einfachsten Filterregeln besteht zum Beispiel darin, dass alle jene Datenpakete ausgeschlossen werden, die zwar eine firmeninterne Adresse aufweisen, jedoch von außerhalb des Netzwerks stammen. Nach einer solchen Maßnahme können Angreifer ihre Computer also nicht mehr unter Zuhilfenahme einer internen Adresse verschleiern. Umgekehrt können so auch ausgehende Datenpakete gefiltert werden, etwa dann, wenn versendete Daten, die das Firmennetzwerk verlassen sollen, keine interne Quelladresse aufweisen.

In der Vergangenheit wurden entsprechende Forderungen an die Internet Service Provider immer wieder gestellt, dass gerade ausgehende Datenpakete auf diese Weise gefiltert werden sollten, da es sich hierbei um eine der effektivsten Maßnahmen gegen Spoofing und auch die damit zumeist in Verbindung stehenden Denial of Service-Attacken handelt.

Best Practices in Unternehmensnetzen:

  • Quelladress-Validierung (SAV): Ingress-/Egress-Filter nach BCP 38/84, uRPF (strict/feasible mode), SAVI am Access-Switch.
  • Netzsegmentierung: VLANs, Mikrosegmentierung und Zero-Trust-Prinzipien (keine impliziten Vertrauenszonen).
  • Port-Sicherheit: 802.1X, DHCP-Snooping, Dynamic ARP Inspection (ergänzend gegen Layer-2-Angriffe), RA-Guard für IPv6.
  • Dienstabsicherung: Nur erforderliche UDP-Dienste exponieren, Response Rate Limiting für DNS, restriktive NTP-Konfiguration, Deaktivierung unnötiger Amplifikationsfunktionen.
  • Transportsicherheit: mTLS, IPsec (AH/ESP mit Anti-Replay), Härtung von TCP (SYN-Cookies, Backlog-Tuning).
  • Monitoring & Forensik: Flow-Analysen, IDS/IPS, aussagekräftige Logs mit Korrelation, Anomalieerkennung und Rate-Limits.

Provider-Rolle heute: Viele Carrier implementieren Quelladressfilter bereits breit. Dennoch existieren weiterhin Netze ohne flächendeckende Umsetzung, weshalb auch Edge-Netze (Unternehmen, Hoster, Cloud-Tenants) konsequente Egress-Filter betreiben müssen.

Weitere Maßnahmen gegen Spoofing

Neben den oben erwähnten Filtern werden weitere Schutzmechanismen gegen Spoofing eingesetzt. Dazu gehört etwa die Verwendung von Sequenznummern, mit denen sichergestellt werden kann, dass die eintreffenden Datenpakete Teil einer aufgebauten Verbindung sind. Bei älteren Netzwerken sind die TCP-Sequenznummern jedoch häufig nur unzureichend implementiert, so dass Angreifer die Nummern erraten und die Kommunikation dann trotzdem manipulieren können. Allerdings ergibt sich eine Manipulationsmöglichkeit auch über das UDP-Protokoll. So wurde im Jahr 2003 ein Wurm bekannt, der sich innerhalb eines einzelnen UDP-Pakets versteckt hielt und dem die Fähigkeit zugesprochen wurde, sich auch über Firewalls hinwegsetzen zu können, die ein Anti-Spoofing betreiben.

Eine weitere Gefahr beim Spoofing von TCP-Verbindungen besteht darin, dass gerade der Umstand ausgenutzt werden kann, dass die Antwortpakete einer gefälschten Kommunikation an den richtigen Zielrechner gehen. Auf diese Weise können ganz gezielt große Mengen von Antworten an den Zielrechner geschickt werden, so dass dieser irgendwann lahmgelegt wird. Solche Attacken wurden in der Vergangenheit häufig durchgeführt und haben dazu geführt, dass zum Beispiel einzelne Internetseiten gezielt ausgeschaltet werden können, wenn auch nur für eine bestimmte Zeit.

Aktuelle Entwicklungen (zusätzlich zu älteren Fällen): Moderne Reflektions-/Amplifikationsangriffe missbrauchen u. a. DNS, NTP, SSDP, CLDAP und Memcached. Gerade Memcached-UDP-Angriffe (ab 2018 bekannt) erreichen erhebliche Verstärkungsfaktoren. Dagegen helfen harte Service-Konfigurationen, das Abschalten unnötiger UDP-Endpunkte und strikte ACLs.

  • Server-Härtung: DNS mit RRL, NTP restriktiv (keine offenen Monlist/Query-Funktionen), Memcached ohne UDP, minimaler Angriffsfläche.
  • DDoS-Schutz: Anycast, Scrubbing-Center, RTBH/FlowSpec, Rate-Limits und sauberes Peering.
  • Protokoll-Absicherung: TCP-AO (selten genutzt), IPsec (Anti-Replay), QUIC mit Address Validation, aktuelle Kernel/Stacks mit robusten ISN und SYN-Cookies.
  • IPv6-Spezifika: Filter für Extension-Header/Fragmentierung, strenge Ingress-Regeln auch für Link-Local/ULA-Präfixe.

Fazit: Address-Spoofing bleibt relevant. Historische Schwachstellen (z. B. erratbare Sequenznummern) sind heute selten, doch falsch konfigurierte Dienste, fehlende Egress-Filter und offene UDP-Responder ermöglichen weiterhin wirkungsvolle Angriffe.

Häufige Fragen und Antworten

Was ist Address-Spoofing?

Address-Spoofing, auch bekannt als IP-Spoofing, bezeichnet das Versenden von IP-Paketen mit gefälschter Absenderadresse. Dabei wird die IP-Adresse des tatsächlichen Absenders manipuliert, um die Quelle der Datenpakete zu verschleiern.

Kurz erklärt: Ein Paket wirkt so, als käme es von einer legitimen Quelle, tatsächlich stammt es aber von einem anderen System. Ziel ist meist Tarnung, Umgehung von Sperren oder die Vorbereitung größerer Angriffe.

  • Varianten: IPv4- und IPv6-Spoofing, Reflektions-/Amplifikationsmissbrauch, Off-Path-Injektion.
  • Abgrenzung: Nicht zu verwechseln mit ARP-/DNS-Spoofing (andere Protokollschichten).
Wie funktioniert Address-Spoofing?

Beim Address-Spoofing werden die IP-Pakete so manipuliert, dass die Absenderadresse gefälscht ist. Diese Manipulation erfolgt durch Veränderung der Kopfdaten der IP-Pakete. Der Empfänger erhält dadurch den Eindruck, dass die Daten von einer anderen Quelle stammen, als sie tatsächlich stammen.

Wesentlich: Router leiten nach Zieladresse weiter. Antworten gehen zur gefälschten Quell-IP – nicht zum Angreifer. Wirksam ist dies besonders bei UDP/ICMP oder bei TCP-SYN-Floods.

  • Voraussetzungen: Fehlende Egress-Filter beim Absendernetz, offener Dienst am Ziel, ggf. Reflektor mit hohem Verstärkungsfaktor.
  • Gegenmittel: Quelladressvalidierung, stateful Firewalls, Rate-Limits und Härtung exponierter Dienste.
Warum wird Address-Spoofing durchgeführt?

Address-Spoofing wird oft von Hackern eingesetzt, um die eigentliche Quelle ihrer Datenpakete zu verschleiern. Eine gefälschte Absenderadresse ermöglicht es ihnen, Sicherheitsmaßnahmen zu umgehen, die auf Basis der IP-Adresse arbeiten. Dadurch können sie sich Zugang zu gesperrten Netzwerken verschaffen oder Angriffe starten, ohne entdeckt zu werden.

  • Häufige Ziele: IP-Blockaden umgehen, DDoS-Reflektion, Forensik erschweren, Ratenbegrenzung aushebeln.
  • In Unternehmen: Ausnutzung impliziter Vertrauensbeziehungen, Umgehung einfacher ACLs, interne Dienste vortäuschen.

Hinweis: Moderne Protokolle (z. B. QUIC) und kryptografische Verfahren senken das Risiko der Sitzungsübernahme, ersetzen aber keine Netz- und Host-basierten Filter.

Welche Gefahren birgt Address-Spoofing, insbesondere in Firmennetzwerken?

Address-Spoofing stellt in Firmennetzwerken eine große Gefahr dar, da zwischen den Rechnern oft ein gewisses Vertrauensverhältnis besteht. Die Manipulation der Absenderadresse ermöglicht es Angreifern, Angriffe auf Zielrechner durchzuführen, ohne dass eine Authentifizierung erforderlich ist. Dadurch können Sicherheitsmaßnahmen umgangen und das Netzwerk kompromittiert werden.

  • Risiken: Laterale Bewegung, Dienstmissbrauch, DDoS gegen interne und externe Ressourcen.
  • Schutz: Ingress/Egress-Filter, Mikrosegmentierung, 802.1X, IDS/IPS, Härtung von UDP-Diensten, umfassendes Logging.

Praxis: Regelmäßige Überprüfungen der Filterregeln und Tests (Table-Top/Red-Teaming) decken Fehlkonfigurationen frühzeitig auf.

Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/a/address-spoofing/

Bildnachweis: iStock.com/Hailshadow

Sie können entspannt sein.
Wir retten Ihre Daten.

Sie können entspannt sein. Wir retten Ihre Daten.
100% kostenlose Analyse!

Senden Sie uns jetzt Ihre unverbindliche Anfrage: Sie erhalten eine kostenlose Analyse und ein unverbindliches Angebot zur Datenrettung mit Festpreisgarantie.

Ihre Daten werden gemäß Datenschutzerklärung verarbeitet, um Ihre Anfrage bearbeiten zu können.
Wir helfen Ihnen gerne!

Häufige Fragen
und Antworten

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung:
» Kontakt

Folgende Artikel könnten Sie ebenfalls interessieren:

Related Posts