Hvad er IP spoofing?
IP-forfalskning er oprettelsen af Internet Protocol (IP) – pakker, der har en ændret kildeadresse for enten at skjule afsenderens identitet, for at efterligne et andet computersystem eller begge dele. Det er en teknik, der ofte bruges af dårlige skuespillere til at påkalde DDoS-angreb mod en målenhed eller den omgivende infrastruktur.
afsendelse og modtagelse af IP-pakker er en primær måde, hvorpå netværkscomputere og andre enheder kommunikerer, og udgør grundlaget for det moderne internet., Alle IP-pakker indeholder en overskrift, der går forud for pakkenes krop og indeholder vigtige routingoplysninger, herunder kildeadressen. I en normal pakke er kilde-IP-adressen adressen på afsenderen af pakken. Hvis pakken er blevet forfalsket, vil kildeadressen blive forfalsket.
IP-forfalskning er analog med en angriber, der sender en pakke til en person med den forkerte returadresse på listen., Hvis den person, der modtager pakken, ønsker at forhindre afsenderen i at sende pakker, vil blokering af alle pakker fra den falske adresse Ikke gøre noget godt, da returadressen let ændres. Tilsvarende, hvis modtageren ønsker at svare på returadressen, vil deres svarpakke gå et andet sted end til den rigtige afsender. Evnen til at forfalske adresserne på pakker er en kernesårbarhed, der udnyttes af mange DDoS-angreb.,
DDoS angreb vil ofte udnytte spoofing med et mål om overvældende et mål med trafik, mens maskering identiteten af den ondsindede kilde, forhindre afbødning indsats. Hvis kilde-IP-adressen forfalskes og kontinuerligt randomiseres, bliver det vanskeligt at blokere ondsindede anmodninger. IP-forfalskning gør det også svært for retshåndhævende og cybersikkerhedshold at spore gerningsmanden til angrebet.
spoofing bruges også til at maskerade som en anden enhed, så svar sendes til den målrettede enhed i stedet., Volumetriske angreb som NTP-forstærkning og DNS-forstærkning gør brug af denne sårbarhed. Evnen til at ændre kilde-IP ‘ en er iboende for designet af TCP/IP, hvilket gør det til et løbende sikkerhedsproblem.
tangentiel til DDoS-angreb, spoofing kan også udføres med det formål at maskere som en anden enhed for at undgå godkendelse og få adgang til eller “kapre” en brugers session.
Sådan beskytter du mod IP-forfalskning (pakkefiltrering)
mens IP-forfalskning ikke kan forhindres, kan der træffes foranstaltninger for at forhindre, at forfalskede pakker infiltrerer et netværk., En meget almindelig forsvar mod spoofing er ingress filtrering, skitseret i bcp38 (en bedste fælles praksis dokument). Ingress-filtrering er en form for pakkefiltrering, der normalt implementeres på en netværkskantenhed, der undersøger indgående IP-pakker og ser på deres kildeoverskrifter. Hvis kildeoverskrifterne på disse pakker ikke stemmer overens med deres oprindelse, eller de på anden måde ser fiskede ud, pakkerne afvises., Nogle netværk vil også gennemføre egress-filtrering, der ser på IP-pakker, der forlader netværket, hvilket sikrer, at disse pakker har legitime kildeoverskrifter for at forhindre nogen i netværket i at starte et udgående ondsindet angreb ved hjælp af IP-forfalskning.