Что такое IP спуфинг и как предотвращать спуфинг-атаки

Злоумышленники сети Интернет знают множество способов, как оставаться незамеченными и как скрывать свое истинное лицо. Одним из распространенных методов маскировки в режиме онлайн является IP Spoofing.

Используя такой подход, преступник с легкостью может пробраться в чужой компьютер, получив к нему доступ, при этом будет выдавать себя за доверенное устройство.Данный обзор посвящен раскрытию понятия, что такое ip спуфинг, как его выявлять и как можно от него защититься.

Что такое IP спуфинг и как предотвращать спуфинг-атак

Что такое IP-адрес и IP-спуфинг

IP-адрес является уникальным сетевым адресом узла в компьютерной сети, которая сформирована на базе объединения протоколов TCP и IP. Интернет-сеть требует, чтобы каждый адрес был уникальным, а также в рамках локальной сети должен поддерживаться тоже уникальный адрес.

Структура IP-адреса представляет собой два элемента – номер сети и номер узла.

IP-спуфинг определяется как одно из направлений хакерских атак, когда задействуется чужой IP, чтобы обмануть систему безопасности и проникнуть в постороннюю компьютерную сеть. Слово «spoof» с английской языка означает мистификацию, то есть злоумышленник маскируется под своего, чтобы проникнуть к частным данным.

Метод спуфинга используется в определенных целевых атаках, когда хакер изменяет данные адреса отправителя в IP-пакете. Все эти действия позволяют скрыть истинный адрес того, кто совершает данную атаку, чтобы получить ответный пакет на свой адрес или же реализовать другие личные цели.

Чаще всего онлайн-нарушители атакуют чужие компьютеры, чтобы фальсифицировать собственные заголовки IP-пакетов, в частности изменять IP-адрес источника. В этом случае спуфинг приравнивается к «слепой подмене». На самом деле, фальсифицированный пакет не может передаться в машину крэкера из-за измененного исходящего адреса. Но есть способы обхода и получения желаемого.

Таких способов два:

  • Source routing или маршрутизация от источника – в протоколе IP можно задать нужный маршрут для передачи пакета данных;
  • Re-routing или перемаршрутизация – при использовании протокола RIP можно сделать замену и предложить свой RIP-пакет с измененными данными.

Как делается IP спуфинг?

Как уже было сказано выше, подмена IP в пакете данных происходит двумя способами – заменой адреса в системе на нужный хакеру, чтобы он автоматически добавлялся в пакет, и путем самостоятельного создания пакета, в который можно записать любой source IP.

Но эти атаки являются трудоемкими, поскольку хакер не получает ответные пакеты целевого сервера.

Прием слепой подмены актуален при внедрении в сервисы rlogin и rsh, поскольку их идентификационные механизмы основываются только на исходных IP-адресах клиентских машин.

Например, история помнит всемирно известную атаку 1994-го года, совершенную Кевином Митником на машину Цумоту Шимомуры.

Ее принцип заключался в следующем:

  • находится IP-адрес доверенной машины – можно задействовать команду showmount-e, чтобы вывести список хостов по экспорту файловых систем, или команду rpcinfo, которая предоставляет развернутую информацию;
  • активируется атака «отказ в обслуживании» против доверенной машины – например, с помощью SYN-наводнения. Таким образом, машина не ответит на пакеты от целевого сервера, что и требуется хакеру;
  • попытка расшифровать последовательный номер TCP – у каждого такого пакета есть свой номер, а после истечения срока действия присваивается новый, который генерируется линейно случайным методом;
  • во время атаки открывается TCP-соединение с желаемым портом. Задействуется механизм тройного квитирования;
  • в ходе атаки крэкер не получает ответ от сервера в виде пакета с выставленными флагами SYN-ACK. Соединение устанавливается путем прогнозирования номера последовательности, после чего отправляется пакет с предполагаемым номером. Устанавливается соединение и теперь крэкер может отправлять команду для получения дополнительных прав доступа. Когда он получает необходимые данные, они передаются на сервис rsh, и теперь можно совершать подключение по rlogin или rsh, даже не меняя адрес источника.

Кто использует IP спуфинг

TCP – это протокол транспортного уровня, оснащенный встроенным механизмом для предотвращения спуфинга. Но существует еще протокол UDP, который не располагает таким механизмом и все его приложения наиболее уязвимы для спуфинга.

В рамках ip spoofing крэкер не видит ISNs, потому что не получит ответ от сервера. Чтобы установить соединение от имени чужого адреса, нужно угадать ISNs.

Среди самых распространенных вариаций спуфинг-атак можно назвать следующие:

  • SYN-флуд – относится к типу DoS-атак. Хакер может посылать запросы SYN на удаленный сервер, совершая подмену адреса отправителя. Ответ будет приходить на фиктивный адрес, а после подключения появляются полуоткрытые соединения. Такая атака ориентирована на уязвимости ограничений ресурсов операционных систем для полуоткрытых соединений;
  • DNS-усиление – еще одна DoS-атака, заключающаяся в том, что компьютером посылаются запросы на сервер DNS, а в пакете данных указывается IP того компьютера, который атакуется. Поскольку ответ с сервера будет превышать объем запроса в разы, это существенно повышает шансы успешного взлома;
  • TCP hijacking – здесь внимание падает на поля Sequence Number и Acknowledge Number, поскольку по ним конечным хостом различаются TCP-абоненты и TCP-соединения. Если знать эти поля и использовать подмену IP, тогда во время атаки можно будет получить любые сведения, чтобы сорвать соединение, создать ошибку подключения и любые другие злоумышленные действия;
  • аутентификация на основе IP-адреса – если между машинами сформированы доверительные отношения, тогда именно такой способ взлома будет самым эффективным. Достаточно подменить соединение на одной из них, чтобы получить доступ к целевому ресурсу без дополнительной аутентификации (destination IP). Примером такой атаки можно назвать описанный выше случай про Кевина Митника.

Как защититься от спуфинг-атаки

Самый легкий для выявления тип спуфинга – это через email. Если пользователь получил письмо, в котором его просят предоставить личные данные, это уже говорит об угрозе спуфинга. Всегда нужно проверять адрес отправителя и использовать зашифрованные контейнеры и даже не вестись на такие попытки – ни одна компания никогда не запрашивает персональные данные по э-мейл.

Но пользователь никогда не узнает о том, что его атаковали, поскольку может не обратить внимание на изменение поведения сайтов или появления подозрительных деталей. Но если вы засомневаетесь в надежности веб-ресурса, лучше сразу закрыть его или не выполнять никакие действия, особенно финансовые операции, чтобы обезопасить себя от взлома и проникновения мошенников.

Специфика спуфинга в том, что такая атака маскирует истинный источник, поэтому его не легко устранить. Зато соблюдение элементарных правил безопасности позволит защититься или, как минимум, предотвратить попытку проникновения к пользовательским данным.

IP спуфинг нельзя остановить, но важно принять эффективные меры, чтобы не дать поддельным пакетам попасть в сеть. В этом случае используется прием фильтрации входа.

Данная мера заключается в том, что используется опция фильтра, чтобы проверять входящие IP-пакеты и изучать их исходные заголовки. Если выявляется несовпадение данных или же возникает подозрение в их подлинности, они будут отклонены.

Многие сети практикуют фильтрацию исходящего типа, чтобы проверять направляемые другим машинам пакеты с данными. Это также помогает предотвращать попытки взломов и ip спуфинг-атак.

Пользователям рекомендуется применять такие меры защиты и предотвращения действий злоумышленников:

  • не отвечать на сообщения, в которых указывается предоставить свои личные данные;
  • всегда внимательно изучать адрес отправителя;
  • замечать странности в поведении сайтов или прекращать пользоваться ими, если сомневаетесь в надежности ресурса.

Заключение

С одной стороны, понимать спуфинг, что это атака хакеров – мало. Важно еще применять меры безопасности для защиты своих личных данных. Всегда пользуйтесь антивирусной программой, храните все важные файлы в надежно месте.

IP-Spoofing является достаточно распространенной проблемой, и так легко от нее не избавиться. Если понимать, как все устроено и как действует, тогда проще обезопаситься, используя VPN сервисы, которые шифруют Ваш трафик, и совершать только проверенные манипуляции в сети.

Чтобы ваши личные данные всегда были в безопасности — используйте RusVPN на всех устройствах уже сейчас!