Skip to main content

IP Spoofing – Was ist es und wie kann man es verhindern?

Das Internet wurde entwickelt, um Milliarden von Menschen auf der ganzen Welt miteinander zu verbinden. Das ist immer noch der Fall, aber ein großer Teil des Internets wird jetzt für Dinge genutzt, von denen man nicht dachte, dass es dafür genutzt werden würde, z. B. für kriminelle Aktivitäten. Heute ist Sicherheit ein Thema, das alle Website-Betreiber und ihre Benutzer ernst nehmen müssen.

Bei der Entwicklung von Netzwerken und Websites sollten Sie immer mit der gebotenen Sorgfalt vorgehen und Ihr Netzwerk auf Eventualitäten wie Spoofing der IP Adresse vorbereiten.

Niemand möchte daran denken, dass er das Ziel potenzieller Internetkriminalität sein könnte… niemand möchte daran denken, dass eines Tages jemand versuchen könnte, online etwas von ihm zu stehlen. Aber die Wahrheit ist, dass Internetkriminalität ein ständig wachsendes Problem ist, das jeden treffen kann und auch trifft. In diesem Beitrag werde ich Sie über eine neue Form der Internetkriminalität, das Spoofing der IP Adresse, aufklären – was es ist, wie es gemacht wird und wie man es verhindern kann.

Was ist IP-Spoofing?

Spoofing der IP Adresse ist eine Art von Cyberangriff, bei dem ein Hacker seine IP-Adresse ändert, um den Anschein zu erwecken, er sei jemand anderes. Dies geschieht durch das Senden von IP-Paketen mit einer gefälschten Quelladresse.

Der Zweck des Fälschens der IP Adresse ist es, die Identität des Angreifers zu verbergen oder es so aussehen zu lassen, als käme der Angriff von einem anderen Computer. Cyberkriminelle nutzen Spoofing der IP Adresse, um verteilte Denial-of-Service-Angriffe (DDoS) zu starten, Malware zu verbreiten und Betrug zu begehen.

Um vorzugeben, ein anderes Computersystem zu sein, die Identität des Absenders zu verschleiern oder beides, erzeugt der Angreifer Pakete und ändert dabei die Quell-IP-Adresse. Das Feld für die Quell-IP-Adresse im Header des Spoof-Pakets hat eine andere Adresse als die echte Quell-IP-Adresse.

Angreifer verwenden Spoofing der IP Adresse häufig, um Man-in-the-Middle-Angriffe und verteilte Denial-of-Service-Angriffe (DDoS) gegen bestimmte Geräte oder die umgebende Infrastruktur durchzuführen. DDoS-Angriffe zielen darauf ab, Entschärfungsversuche zu vereiteln, indem ein Ziel mit Datenverkehr überflutet wird, während die Identität der angreifenden Quelle verschleiert wird.

Das Wichtigste in Kürze

  • Beim Spoofing der IP Adresse wird die Quelladresse im Header des Pakets mit speziellen Tools verändert. Dadurch wird das Computersystem des Empfängers dazu verleitet, das Paket zu akzeptieren und zu glauben, es stamme von einer zuverlässigen Quelle. Es gibt keine äußerlichen Anzeichen für eine Manipulation, da dies auf der Netzwerkebene geschieht.
  • Denial-of-Service-Angriffe (DoS), die Computernetzwerke mit Datenverkehr überlasten können, beginnen häufig mit dem Spoofing der IP Adresse. Die Pakete werden häufig über geografisch verteilte Botnets, d.h. Netzwerke aus gehackten Rechnern, verschickt.
  • Eine andere bösartige Technik, bei der die IP Adresse gefälscht wird, nutzt einen „Man-in-the-Middle“-Angriff, um die Kommunikation zwischen zwei Computern zu stören, die Pakete zu verändern und sie dann zu übertragen, ohne dass der Absender oder der Empfänger von den Änderungen erfährt. Dies gibt Hackern die Möglichkeit, im Laufe der Zeit eine Menge privater Daten anzuhäufen, die sie ausnutzen oder verkaufen können.
  • Die Authentifizierung mittels IP Adresse kann durch Spoofing der IP Adresse umgangen werden. Das Grundkonzept der „Burg und Graben“-Verteidigung ist ganz einfach: Personen innerhalb der Burg werden als vertrauenswürdig eingestuft, während Personen außerhalb des Netzwerks als Gefahr angesehen werden. Es ist einfach, das System auszunutzen, sobald ein Hacker Zugang zum Netzwerk erhalten hat.

Spoofing: Eine häufige Form der Cyberkriminalität

Eine der häufigsten Formen der Cyberkriminalität, die dem IC3 (Internet Crime Complaint Center) des Federal Bureau of Investigations (FBI) im Jahr 2020 gemeldet wurde, war Spoofing.

Wir müssen uns dabei darüber im Klaren sein, dass sich Spoofing nicht immer nur auf die IP-Adresse bezieht:

  • Die Übermittlung gefälschter Address Resolution Protocol-Nachrichten über ein LAN ist beispielsweise als ARP-Spoofing (Local Area Network) bekannt.
  • Um den Internetverkehr umzuleiten und Besucher an eine unerwartete IP Adresse zu leiten, müssen beim DNS-Server-Spoofing DNS-Einträge geändert werden.
  • Phishing-Angriffe, bei denen betrügerische E-Mails verschickt werden, um an sensible Daten zu gelangen, nutzen E-Mail-Spoofing als Schlüsselkomponente

Wie funktioniert Spoofing der IP Adresse?

Spoofing der IP Adresse funktioniert, indem ein IP-Paket verändert und die Absender IP Adresse einer Nachricht gefälscht wird. Das bringt uns zur ersten Frage:

Was ist ein IP-Paket?

Die Nachricht wird in winzige Pakete aufgeteilt, um die Datenübertragung zu vereinfachen, egal ob es sich um eine DM, eine Datei oder einen Link zu einer Website handelt.

Im Wesentlichen wird eine Nachricht bei der Internet-Übertragung in kleinere Bits aufgeteilt. Die Pakete werden wieder zusammengesetzt, nachdem sie das vorgesehene Ziel erreicht haben, um die letzte Nachricht von der Quelladresse zu senden. Auf diese Weise interagieren Computernetzwerke.

Wie wird die IP Adresse dieses IP-Paketes manipuliert?

Der informationshaltige Quell-IP-Header, der sich am Anfang des IP-Pakets befindet, könnte schwach sein.

Sollte es einem Hacker gelingen, den Header zu verändern, könnte er das Computersystem des Empfängers dazu verleiten, die veränderte Quelladresse für eine vertrauenswürdige Quell IP Adresse zu halten.

Im Grunde fügt der Angreifer die falsche Absenderadresse hinzu, um den endgültigen Empfänger der Nachricht zu verwirren.

Um die IP Adresse zu fälschen, müssen Hacker nicht einmal hart arbeiten

Der Großteil der Arbeit wird den Angreifern von Tools abgenommen, die bei der Umgehung der IP Adresse Authentifizierung helfen können.

Da es so einfach ist, sich Zugang zu verschaffen, können Hacker leider verschiedene Angriffe auf Basis der gefälschten IP Adresse starten, z. B. Distributed Denial of Service (DDoS) oder Man-in-the-Middle (MITM)-Angriffe.

Arten der Fälschung von der IP Adresse

Maskierung von Botnet-Geräten

Ein Botnet ist eine Sammlung von Computern, die ein Angreifer aus der Ferne verwaltet. Ein spezieller Bot, der auf jedem dieser Computer läuft, führt die Angriffe für den Angreifer aus. Sie werden feststellen, dass Spoofing der IP Adresse notwendig ist, um Botnets zu maskieren.

Hacker übernehmen in der Regel ein System, indem sie es mit Malware infizieren. Ein böswilliger Benutzer kann mit Hilfe von Botnets Spam-Angriffe, DDoS-Angriffe, Werbebetrug, Ransomware-Angriffe und vieles mehr durchführen. Es ist eine flexible Technik, um gezielte Auseinandersetzungen mit anderen Benutzern zu führen.

Spoofing der IP Adresse ist eine der Ursachen dafür. Jeder Bot im Netzwerk hat häufig eine gefälschte IP Adresse, was es schwierig macht, den böswilligen Akteur zu identifizieren. Der Hauptvorteil des Spoofings der IP Adresse besteht darin, die Strafverfolgung zu umgehen. Das ist jedoch nicht der einzige.

Durch die Verwendung von Botnetzen mit gefälschter IP Adresse wird beispielsweise verhindert, dass das Ziel die Eigentümer auf das Problem aufmerksam macht. Der Angriff kann sich dadurch in die Länge ziehen, so dass der Hacker seine Aufmerksamkeit auf neue Ziele richten kann. Theoretisch kann dies zu einem Angriff führen, der endlos läuft, um die Belohnung zu maximieren.

Verteilte Denial-of-Service-Angriffe (DDoS)

DDoS-Angriffe werden von Cyberkriminellen durchgeführt, um Computerserver mit einem enormen Zustrom von Internetverkehr zu sättigen. Was ist das Ziel?

Angreifer können DDoS-Angriffe zur Erpressung, als Deckmantel für andere Verbrechen oder zur Abschaltung konkurrierender Websites und zur Unterbrechung von Diensten einsetzen.

Bei DDoS-Angriffen können Cyberkriminelle die Technik des bösartigen Spoofing der IP Adresse erfolgreich einsetzen, um ihre Identität zu verbergen und einer Bestrafung zu entgehen.

Wenn eine gefälschte IP Adresse verwendet wird, ist es schwierig, die Quelle des Angriffs zu identifizieren, was es natürlich viel schwieriger macht, den Angriff zu stoppen oder sein eigentliches Ziel zu bestimmen.

Man-in-the-middle-Angriffe

Dank DNS-Servern (Domain Name System) ist die Internetkommunikation möglich, ohne dass Sie sich komplexe numerische (IP Adresse v4) und alphanumerische (IP Adresse v6) Kombinationen merken müssen. Leider können Cyberkriminelle Man-in-the-Middle-Angriffe nutzen, um die Kommunikation zwischen den Geräten zu belauschen.

Wenn ein Angreifer in der Lage ist, zwei Parteien effektiv abzuhören, kann er die IP Adresse fälschen, um beide Parteien glauben zu lassen, dass sie die einzigen sind, die miteinander kommunizieren. Hacker können dies ausnutzen, um auf private Daten zuzugreifen, vielleicht wichtige Informationen zu stehlen oder Geld zu verlangen.

Legale Verwendungszwecke für IP-Spoofing

Spoofing der IP Adresse wird zwar häufig von Hackern eingesetzt, um Online-Betrug und Identitätsdiebstahl zu begehen oder um Websites und Server von Unternehmen lahmzulegen, aber gelegentlich gibt es auch legale Anwendungen. Wenn Unternehmen Websites testen, bevor sie sie in Betrieb nehmen, können sie Spoofing der IP Adresse einsetzen.

Um zu testen, ob die Website eine große Anzahl von Anmeldungen bewältigen kann, ohne überlastet zu werden, müssen Tausende von virtuellen Benutzern eingerichtet werden. Wenn es auf diese Weise eingesetzt wird, ist das Spoofing der IP Adresse legal.

Was macht IP-Spoofing so gefährlich?

Die Schwierigkeit, eine Verfälschung der IP Adresse zu erkennen, stellt, wie bereits erwähnt, die größte Gefahr dar. Bevor böswillige Akteure versuchen, sich mit dem Zielnetzwerk zu verbinden oder ein Gespräch mit einem Ziel zu beginnen, findet es statt. Dies bedeutet, dass die Opfer häufig im Dunkeln tappen, bis es zu spät ist.

Im Folgenden finden Sie einige Beispiele, die verdeutlichen, warum eine gefälschte IP Adresse schwer zu erkennen ist und gleichzeitig so viel Schaden anrichten kann:

Es ist heimtückischer als Phishing

Beim Phishing sendet der Angreifer eine E-Mail mit einem bösartigen Link an einen Benutzer. Wenn das Opfer auf diesen Link klickt, wird es aufgefordert, sein Passwort oder andere Informationen einzugeben. Der Angreifer nutzt diese Informationen dann, um sich Zugang zum Konto des Opfers zu verschaffen.

In der heutigen modernen Welt haben fast alle Benutzer gelernt, skeptisch zu sein, wenn sie verdächtige E-Mails erhalten, was die Erfolgsquoten von Phishing-Angriffen senkt. Spoofing der IP Adresse hingegen erfordert keine menschliche Interaktion und findet auf Netzwerkebene statt. Daher kann es nicht durch Sorgfaltspflicht verhindert werden.

Es kann Firewalls und Perimetersicherheit umgehen

Um Dienste vorübergehend zu unterbrechen oder abzuschalten, können externe Akteure das Netzwerk überschwemmen, nachdem sie die Sicherheitsmaßnahmen erfolgreich umgangen haben.

Fehler wie „der Remote-Prozedur-Aufruf ist fehlgeschlagen“ sollten nicht auf die leichte Schulter genommen werden, da Dienste wie Remote-Prozedur-Aufrufe und die R-Services-Suite, zu der rlogin und rsh gehören, anfällig für ein Spoofing der IP Adresse sind.

Es bietet eine erweiterte Verschleierung

Eine gefälschte IP Adresse ermöglicht es Hackern, sich längere Zeit Zugang zu Netzwerken zu verschaffen und sich dabei als vertrauenswürdiger Benutzer auszugeben.

Es werden mehr Verbindungen aus der Ferne hergestellt

Im Post-Covid-Zeitalter verbinden sich immer mehr Benutzer und Geräte von außen mit dem Netzwerk, da der Übergang zur Telearbeit vollzogen ist.

Dadurch steigt die Häufigkeit von Fälschungen der IP Adresse erheblich, und es genügt ein einziges betroffenes Gerät, um das gesamte Netzwerk zu kompromittieren.

Wie können Sie IP-Spoofing erkennen?

Spoofing der IP Adresse ist für Endbenutzer schwer zu erkennen. Die meisten Techniken zur Vermeidung vom Spoofing der IP Adresse müssen von IT-Experten entwickelt und implementiert werden, die mit Spoofing vertraut sind. Da diese Angriffe auf der Schicht 3 der Open Systems Interconnection-Kommunikationsarchitektur, d.h. der Netzwerkschicht, durchgeführt werden.

Auf diese Weise werden externe Hinweise auf Manipulationen vermieden. Nach außen hin erscheinen die betrügerischen Verbindungsanfragen als echte.

Unternehmen können jedoch Tools zur Netzwerküberwachung einsetzen, um den Datenverkehr an den Endpunkten des Netzwerks zu analysieren. Die wichtigste Methode hierfür ist das Filtern von Paketen.

Dies kann in vielen verschiedenen Formen geschehen, aber Ihre Chancen, bösartige Versuche zu erkennen, steigen, je besser Sie Ihr System verstehen.

Zu den Optionen für die Erkennung vom Spoofing der IP Adresse gehören die Überwachung von Systemen auf ungewöhnliches Verhalten und die Implementierung von Paketfiltern, um Anomalien zu erkennen (z.B. aktive Pakete mit Quell IP Adresse, die nicht mit denen im Netzwerk des Unternehmens übereinstimmt).

Firewalls und Router enthalten häufig Technologien zur Paketfilterung. Sie suchen nach Diskrepanzen zwischen der IP Adresse des Pakets und einer erforderlichen IP Adresse in den Zugriffskontrolllisten (ACLs). Außerdem erkennen sie verdächtige Pakete, nicht nur anhand der IP Adresse.

Die beiden häufigsten Arten der Paketfilterung sind die Ingress-Filterung und die Egress-Filterung

  • Ingress-Filterung: Wenn ankommende Pakete gefiltert werden, wird der Quell-IP-Header untersucht, um festzustellen, ob er mit einer zulässigen Quelladresse übereinstimmt. Pakete, die nicht übereinstimmen oder sich verdächtig verhalten, werden zurückgewiesen. Durch diese Filterung wird eine ACL erstellt, die jede erlaubte Quell IP Adresse enthält.
  • Egress-Screening prüft ausgehende Pakete. Es wird erkannt, wenn eine Quell IP Adresse nicht mit denen im Unternehmensnetzwerk übereinstimmt. Mit dieser Strategie werden Insider daran gehindert, einen Angriff auf Basis einer gefälschten IP Adresse durchzuführen.

Da Spoofing so schwer zu erkennen ist und die Methode darin besteht, die wahre Identität zu verschleiern, sind die Möglichkeiten es zu erkennen begrenzt. Sie können jedoch das Risiko minimieren und die Auswirkungen vermindern. Darauf gehen wir im nächsten Abschnitt genauer ein.

Wie können Sie sich gegen IP Spoofing schützen?

Wie sich Endbenutzer schützen können

– Überprüfen Sie die Sicherheit der Konfiguration Ihres Heimnetzwerks.

– Seien Sie vorsichtig bei der Nutzung von kostenlosem Wi-Fi an öffentlichen Plätzen.

– Überprüfen Sie den HTTPS-Status der Websites, die Sie besuchen.

– Halten Sie Ausschau nach Phishing-Versuchen.

– Verwenden Sie eine aktuelle Antiviren-Software.

Wie Internetdienstanbieter gegen IP Spoofing vorgehen können

Ein Schutz gegen Spoofing der IP Adresse ist die Verwendung von Paketfiltern. Die eingehende Prüfung sollte vom Netzwerk-Gateway durchgeführt werden: Pakete von außen, die Quelladressen interner Rechner haben, werden ignoriert.

Dies hindert einen externen Angreifer daran, sich als die Adresse eines internen Rechners auszugeben. Ausgehende Pakete sollten idealerweise ebenfalls überprüft werden, wobei Pakete, deren Ursprungsadresse sich nicht im Netzwerk befindet, nicht berücksichtigt werden.

So würde man verhindern, dass eine IP Adresse von einem externen Computer gefälscht wird, was eine langjährige Forderung von Sicherheitsexperten gegenüber Internet Service Providern (ISPs) ist.

Massenhaftes Spoofing der IP Adresse (typischerweise im Zusammenhang mit DDoS-Angriffen) wäre ein wesentlich geringeres Problem, wenn jeder ISP ausgehende Pakete, die nicht aus seinem eigenen Netzwerk stammen, ständig auf ihre Ursprungsadresse hin überprüfen würde.

Welche Arten von Spoofing gibt es noch?

Wir sind in diesem Artikel jetzt schon ausführlich auf die Details des IP Spoofings eingegangen. Dabei ist die IP Adresse jedoch nicht die einzige Information, die gefälscht wird, um Netzwerke anzugreifen. Jede dieser weiteren Techniken zu erklären, würde den Rahmen dieses Artikels sprengen, weshalb wir nur kurz auf eine kleine Auswahl eingehen werden.

E-Mail Spoofing

Das Versenden von E-Mails mit gefälschten Absenderadressen wird als E-Mail-Spoofing bezeichnet. Diese Praxis wird häufig im Rahmen von Phishing-Angriffen eingesetzt, um Ihre persönlichen Daten zu stehlen, Ihren Computer mit Malware zu infizieren oder einfach nur Geld zu verlangen.

Bösartige E-Mails enthalten häufig Ransomware, Adware, Cryptojacker, Trojaner (wie Emotet) oder Malware, die Ihren Computer kapert und ihn als Teil ihrer Nutzlast einem Botnet hinzufügt (siehe DDoS).

Man-in-the-Middle-Angriff über Wi-Fi-Spoofing (MitM)

Wenn Sie das kostenlose Wi-Fi in Ihrem Café in der Nähe nutzen, sind Sie dem Risiko von Man-in-the-Middle-Angriffen (MitM) ausgesetzt. Haben Sie schon einmal darüber nachgedacht, was passieren könnte, wenn ein Hacker das Wi-Fi kompromittiert oder ein zweites gefälschtes Wi-Fi-Netzwerk in der gleichen Gegend einrichtet?

In beiden Fällen haben Sie die idealen Voraussetzungen für einen Man-in-the-Middle-Angriff, der seinen Namen von der Tatsache hat, dass Cyberkriminelle die Online-Kommunikation zwischen zwei Parteien abhören können. Wenn Betrüger die Kommunikation zwischen den Parteien manipulieren, um Geld abzuzweigen oder an sensible persönliche Daten wie Kreditkartennummern oder Logins zu gelangen, wird dies als Wi-Fi-Spoofing bezeichnet.

MAC-Spoofing

Theoretisch sollte jeder Netzwerkadapter in einem angeschlossenen Gerät seine eigene spezifische MAC-Adresse (Media Access Control) haben. In der Praxis kann ein cleverer Hack diesen Zustand jedoch auf den Kopf stellen.

Einige Hardware-Treiber können Schwachstellen aufweisen, die ein Angreifer ausnutzen kann, um die MAC-Adresse zu ändern oder zu „fälschen“. Um die Standard-Zugangskontrollsysteme zu umgehen, tarnt der Kriminelle sein Gerät als eines, das für ein Zielnetzwerk angemeldet ist.

Von dort aus kann er sich als zuverlässiger Benutzer ausgeben und Betrügereien wie die Kompromittierung geschäftlicher E-Mails (BEC) durchführen, Informationen stehlen oder Malware in die Online-Umgebung einschleusen.

Eine kurze Geschichte des IP Spoofings

Lassen Sie uns mit einer kurzen Geschichte des eigentlichen Begriffs „Spoofing“ beginnen. Die Praxis des Spoofing ist nicht neu. Tatsächlich wird das Wort „Spoofing“ schon seit mehr als einem Jahrhundert zur Beschreibung von Täuschungen verwendet.

Dem englischen Komiker Arthur Roberts aus dem 19. Jahrhundert wird zugeschrieben, den Begriff „Spoof“ geprägt zu haben, um ein Spiel der List und Täuschung zu beschreiben, das Roberts laut dem Online-Wörterbuch Merriam-Webster erfunden hat.

Die Regeln des Spiels sind durch den Lauf der Zeit verloren gegangen. Wir können nur vermuten, dass das Spiel entweder langweilig war oder dass die Briten der damaligen Zeit nicht gerne betrogen wurden. Was auch immer der Grund war, der Name hat sich trotz des Misserfolgs des Spiels gehalten.

Spoof wurde erst zu Beginn des 20. Jahrhunderts mit Parodie gleichgesetzt. Viele Jahre lang wurden die Worte „Spoof“ oder „Spoofing“ immer im Zusammenhang mit etwas Amüsantem und Angenehmem verwendet – wie der neueste Film „Spoof“ von Mel Brooks oder das Comedy-Album von „Weird Al“ Yankovic.

Heute ist Spoofing ein Begriff, der am häufigsten zur Beschreibung von Internetkriminalität verwendet wird. Spoofing liegt immer dann vor, wenn ein Betrüger oder eine Online-Bedrohung sich als jemand oder etwas ausgibt, das er oder sie nicht ist. Wir wollen aufzeigen, wie schwerwiegend diese Art von Angriff sein kann, indem wir zwei der bekanntesten Hackerangriffe der Vergangenheit vorstellen, bei denen Spoofing der IP Adresse eine wichtige Rolle spielte.

GitHub (2018)

Am 28. Februar 2018 wurde die Code-Hosting-Plattform GitHub von dem vermutlich schlimmsten DDoS-Angriff aller Zeiten heimgesucht.

Die Angreifer stellten Anfragen an Memcached-Server, die häufig zur Beschleunigung datenbankgestützter Websites verwendet werden, und benutzten dabei die IP Adresse von GitHub als Fälschung. Die Server erhöhten die Daten, die von diesen Aufrufen an GitHub zurückgegeben wurden, fast um das 50-fache.

Infolgedessen wurden für jedes Byte, das der Angreifer lieferte, bis zu 51 Kilobyte an das Opfer geliefert. 1,35 Terabit Datenverkehr pro Sekunde wurden zu GitHub geleitet, was zu einem 10-minütigen Ausfall der Website führte.

Microsoft Azure (2021)

Der größte DDoS-Angriff, den das Internet bisher erlebt hat, war 3,47 Terabyte (Tbps) groß und wurde im November 2021 gestoppt. Microsoft stufte ihn als den größten jemals dokumentierten verteilten Denial-of-Service-Angriff in der Geschichte ein.

Etwa 10.000 vernetzte Geräte in den Vereinigten Staaten, Russland, China, Südkorea, Thailand, Vietnam, Indien, Iran und Indonesien waren die Quelle der rekordverdächtigen 3,47 Tbps DDoS-Attacke. Alethea Toh, Produktmanagerin des Microsoft Azure Networking Teams, erklärte: „Wir glauben, dass dies der größte Angriff war, der jemals in der Geschichte aufgezeichnet wurde.

Auch hier hat der Angreifer ein Spoofing der IP Adresse eingesetzt und UDP missbraucht. Er erstellt eine gültige UDP-Anfrage, die fälschlicherweise die IP Adresse eines Ziels als UDP Quell IP Adresse angibt. Der Angreifer sendet die gefälschte UDP-Anfrage an einen Middleman-Server, der eine größere Anzahl von UDP-Antwortpaketen an die IP Adresse des Ziels und nicht an die tatsächliche IP Adresse des Angreifers sendet. Diese Technik vergrößert die Reichweite eines DDoS-Angriffs, aber UDP ist nur eines von mehreren Internetprotokollen, die zur Verstärkung missbraucht werden können, darunter das Domain Name System (DNS), das Network Time Protocol (NTP) und Memcached.