Wenn Sie die IPS-Funktion aktivieren, wird diese Warnung automatisch angezeigt, wenn Host Intrusion Prevention eine Anwendung auf dem Computer erkennt, die Spoof-Netzwerkdaten sendet. Das bedeutet, dass die Anwendung versucht, den Datenverkehr als von Ihrem Computer ausgehend zu tarnen; tatsächlich stammt er jedoch von einem anderen Computer. Hierzu ändert sie die IP-Adresse in den ausgehenden Paketen. Spoofing ist stets eine verdächtige Aktivität. Wenn dieses Dialogfeld angezeigt wird, sollten Sie sofort die Anwendung untersuchen, die den Spoof-Datenverkehr gesendet hat.
Das Dialogfeld Warnung bei erkanntem Spoofing entspricht weitgehend der Warnung durch die Firewall-Funktion Lernmodus. Es zeigt Informationen über abgefangenen Datenverkehr auf zwei Registerkarten an - der Registerkarte Anwendungsinformationen und auf der Registerkarte Verbindungsinformationen.
Auf der Registerkarte Anwendungsinformationen wird angezeigt:
Auf der Registerkarte Verbindungsinformationen werden weitere Netzwerkdaten angezeigt: Insbesondere Lokale Adresse zeigt die IP-Adresse an, die die Anwendung angeblich hat, während Remote-Adresse die tatsächliche IP-Adresse anzeigt.
Wenn Host Intrusion Prevention Spoof-Netzwerkdatenverkehr erkennt, versucht sie, sowohl den Datenverkehr als auch die Anwendung zu blockieren, die ihn generiert hat. Hierzu fügt sie eine neue Regel am Ende der Liste der Firewall-Regeln hinzu. Die Regel Spoofing-Angreifer blockieren blockiert sämtlichen Datenverkehr, der durch die verdächtige Anwendung erstellt wurde; sofern sie nicht durch eine andere Regel in der Liste überschrieben wird.