Что такое IP спуфинг и как предотвращать спуфинг-атаки

Злоумышленники сети Интернет знают множество способов, как оставаться незамеченными и как скрывать свое истинное лицо. Одним из распространенных методов маскировки в режиме онлайн является IP Spoofing.

Используя такой подход, преступник с легкостью может пробраться в чужой компьютер, получив к нему доступ, при этом будет выдавать себя за доверенное устройство. Данный обзор посвящен раскрытию понятия, что такое ip спуфинг, как его выявлять и как можно от него защититься.

Что такое IP-адрес и IP-спуфинг

IP-адрес является уникальным сетевым адресом узла в компьютерной сети, которая сформирована на базе объединения протоколов TCP и IP. Интернет-сеть требует, чтобы каждый адрес был уникальным, а также в рамках локальной сети должен поддерживаться тоже уникальный адрес.

Структура IP-адреса представляет собой два элемента – номер сети и номер узла.

IP-спуфинг определяется как одно из направлений хакерских атак, когда задействуется чужой IP, чтобы обмануть систему безопасности и проникнуть в постороннюю компьютерную сеть. Слово «spoof» с английской языка означает мистификацию, то есть злоумышленник маскируется под своего, чтобы проникнуть к частным данным.

Метод спуфинга используется в определенных целевых атаках, когда хакер изменяет данные адреса отправителя в IP-пакете. Все эти действия позволяют скрыть истинный адрес того, кто совершает данную атаку, чтобы получить ответный пакет на свой адрес или же реализовать другие личные цели.

Чаще всего онлайн-нарушители атакуют чужие компьютеры, чтобы фальсифицировать собственные заголовки IP-пакетов, в частности изменять IP-адрес источника. В этом случае спуфинг приравнивается к «слепой подмене». На самом деле, фальсифицированный пакет не может передаться в машину крэкера из-за измененного исходящего адреса. Но есть способы обхода и получения желаемого.

Таких способов два:

• Source routing или маршрутизация от источника – в протоколе IP можно задать нужный маршрут для передачи пакета данных;
• Re-routing или перемаршрутизация – при использовании протокола RIP можно сделать замену и предложить свой RIP-пакет с измененными данными.

Как делается IP спуфинг?

Как уже было сказано выше, подмена IP в пакете данных происходит двумя способами – заменой адреса в системе на нужный хакеру, чтобы он автоматически добавлялся в пакет, и путем самостоятельного создания пакета, в который можно записать любой source IP.

Но эти атаки являются трудоемкими, поскольку хакер не получает ответные пакеты целевого сервера.

Например, история помнит всемирно известную атаку 1994-го года, совершенную Кевином Митником на машину Цумоту Шимомуры.

Ее принцип заключался в следующем:

• находится IP-адрес доверенной машины – можно задействовать команду showmount-e, чтобы вывести список хостов по экспорту файловых систем, или команду rpcinfo, которая предоставляет развернутую информацию;
• активируется атака «отказ в обслуживании» против доверенной машины – например, с помощью SYN-наводнения. Таким образом, машина не ответит на пакеты от целевого сервера, что и требуется хакеру;
• попытка расшифровать последовательный номер TCP – у каждого такого пакета есть свой номер, а после истечения срока действия присваивается новый, который генерируется линейно случайным методом;
• во время атаки открывается TCP-соединение с желаемым портом. Задействуется механизм тройного квитирования;
• в ходе атаки крэкер не получает ответ от сервера в виде пакета с выставленными флагами SYN-ACK. Соединение устанавливается путем прогнозирования номера последовательности, после чего отправляется пакет с предполагаемым номером. Устанавливается соединение и теперь крэкер может отправлять команду для получения дополнительных прав доступа. Когда он получает необходимые данные, они передаются на сервис rsh, и теперь можно совершать подключение по rlogin или rsh, даже не меняя адрес источника.

Статьи по теме

Как защитить себя и свое мобильное устройство от фишинга

Самый безопасный браузер

Кто использует IP спуфинг

TCP – это протокол транспортного уровня, оснащенный встроенным механизмом для предотвращения спуфинга. Но существует еще протокол UDP, который не располагает таким механизмом и все его приложения наиболее уязвимы для спуфинга.

В рамках ip spoofing крэкер не видит ISNs, потому что не получит ответ от сервера. Чтобы установить соединение от имени чужого адреса, нужно угадать ISNs.

Среди самых распространенных вариаций спуфинг-атак можно назвать следующие:

• SYN-флуд – относится к типу DoS-атак. Хакер может посылать запросы SYN на удаленный сервер, совершая подмену адреса отправителя. Ответ будет приходить на фиктивный адрес, а после подключения появляются полуоткрытые соединения. Такая атака ориентирована на уязвимости ограничений ресурсов операционных систем для полуоткрытых соединений;
• DNS-усиление – еще одна DoS-атака, заключающаяся в том, что компьютером посылаются запросы на сервер DNS, а в пакете данных указывается IP того компьютера, который атакуется. Поскольку ответ с сервера будет превышать объем запроса в разы, это существенно повышает шансы успешного взлома;
• TCP hijacking – здесь внимание падает на поля Sequence Number и Acknowledge Number, поскольку по ним конечным хостом различаются TCP-абоненты и TCP-соединения. Если знать эти поля и использовать подмену IP, тогда во время атаки можно будет получить любые сведения, чтобы сорвать соединение, создать ошибку подключения и любые другие злоумышленные действия;
• аутентификация на основе IP-адреса – если между машинами сформированы доверительные отношения, тогда именно такой способ взлома будет самым эффективным. Достаточно подменить соединение на одной из них, чтобы получить доступ к целевому ресурсу без дополнительной аутентификации (destination IP). Примером такой атаки можно назвать описанный выше случай про Кевина Митника.

Как защититься от спуфинг-атаки

Самый легкий для выявления тип спуфинга – это через email. Если пользователь получил письмо, в котором его просят предоставить личные данные, это уже говорит об угрозе спуфинга. Всегда нужно проверять адрес отправителя и использовать зашифрованные контейнеры и даже не вестись на такие попытки – ни одна компания никогда не запрашивает персональные данные по э-мейл.

Но пользователь никогда не узнает о том, что его атаковали, поскольку может не обратить внимание на изменение поведения сайтов или появления подозрительных деталей. Но если вы засомневаетесь в надежности веб-ресурса, лучше сразу закрыть его или не выполнять никакие действия, особенно финансовые операции, чтобы обезопасить себя от взлома и проникновения мошенников.

Специфика спуфинга в том, что такая атака маскирует истинный источник, поэтому его не легко устранить. Зато соблюдение элементарных правил безопасности позволит защититься или, как минимум, предотвратить попытку проникновения к пользовательским данным.

IP спуфинг нельзя остановить, но важно принять эффективные меры, чтобы не дать поддельным пакетам попасть в сеть. В этом случае используется прием фильтрации входа.

Данная мера заключается в том, что используется опция фильтра, чтобы проверять входящие IP-пакеты и изучать их исходные заголовки. Если выявляется несовпадение данных или же возникает подозрение в их подлинности, они будут отклонены.

Многие сети практикуют фильтрацию исходящего типа, чтобы проверять направляемые другим машинам пакеты с данными. Это также помогает предотвращать попытки взломов и ip спуфинг-атак.

Пользователям рекомендуется применять такие меры защиты и предотвращения действий злоумышленников:

• не отвечать на сообщения, в которых указывается предоставить свои личные данные;
• всегда внимательно изучать адрес отправителя;
• замечать странности в поведении сайтов или прекращать пользоваться ими, если сомневаетесь в надежности ресурса.

Технические меры для предотвращения IP спуфинг и обеспечения сетевой безопасности

Для предотвращения IP спуфинга и обеспечения сетевой безопасности необходимо применять ряд технических мер, которые помогут защитить сеть и устройства от потенциальных атак.

1. Фильтрация на уровне маршрутизации: Применение анти-спуфинг фильтров на маршрутизаторах может помочь предотвратить передачу исходящего трафика с поддельными IP-адресами, тем самым предотвращая спуфинг.
2. Настройка системы файрвола: Использование фирменного межсетевого экрана (firewall) поможет контролировать входящий и исходящий трафик, фильтруя межсетевые пакеты с недопустимыми источниками.
3. Использование аутентификации: Защитите свою сеть и устройства с помощью механизмов аутентификации, таких как WPA3 для Wi-Fi, а также двухфакторной аутентификации для доступа к сетевым ресурсам.
4. Обновление программного обеспечения: Регулярно обновляйте операционные системы, программы и аппаратные устройства, чтобы устранить известные уязвимости, которые могут быть использованы злоумышленниками для спуфинга.
5. Использование VPN: Виртуальные частные сети (VPN) могут обеспечить дополнительный уровень защиты, маскируя ваш настоящий IP-адрес и шифруя передаваемые данные.
6. Мониторинг сетевой активности: Внедрение систем мониторинга и обнаружения аномалий позволит оперативно выявлять и реагировать на подозрительные активности, включая спуфинг-атаки.
7. Внимательность к электронной почте и ссылкам: Обучите сотрудников распознавать фишинговые атаки и обращать внимание на поддельные электронные письма и ссылки, которые могут использоваться для спуфинга.

Эффективная защита от IP спуфинга требует комплексного подхода, включающего в себя не только технические меры, но и обучение персонала и соблюдение лучших практик сетевой безопасности.

Заключение

С одной стороны, понимать спуфинг, что это атака хакеров – мало. Важно еще применять меры безопасности для защиты своих личных данных. Всегда пользуйтесь антивирусной программой, храните все важные файлы в надежно месте.

IP-Spoofing является достаточно распространенной проблемой, и так легко от нее не избавиться. Если понимать, как все устроено и как действует, тогда проще обезопаситься, используя VPN сервисы, которые шифруют Ваш трафик, и совершать только проверенные манипуляции в сети.