Wat is IP-spoofing?
IP spoofing is het aanmaken van Internet Protocol (IP) pakketten die een gewijzigd bronadres hebben om ofwel de identiteit van de afzender te verbergen, om zich voor te doen als een ander computersysteem, of beide. Het is een techniek die vaak wordt gebruikt door slechte acteurs om DDoS-aanvallen op een doelapparaat of de omliggende infrastructuur aan te roepen.
Het verzenden en ontvangen van IP-pakketten is een primaire manier waarop netwerkcomputers en andere apparaten communiceren, en vormt de basis van het moderne internet., Alle IP-pakketten bevatten een header die voorafgaat aan de body van het pakket en bevat belangrijke routeringsinformatie, waaronder het bronadres. In een normaal pakket is het bron-IP-adres het adres van de afzender van het pakket. Als het pakket is vervalst, zal het bronadres worden vervalst.
IP Spoofing is analoog aan een aanvaller die een pakket stuurt naar iemand met het verkeerde retouradres., Als de persoon die het pakket ontvangt de afzender wil stoppen met het verzenden van pakketten, zal het blokkeren van alle pakketten van het valse adres weinig goed doen, omdat het retouradres gemakkelijk wordt gewijzigd. Gerelateerd, als de ontvanger wil reageren op het retouradres, zal hun antwoordpakket ergens anders dan naar de echte afzender. De mogelijkheid om de adressen van pakketten spoofen is een kern kwetsbaarheid uitgebuit door vele DDoS-aanvallen.,
DDoS-aanvallen maken vaak gebruik van spoofing met als doel een doel te overweldigen met verkeer, terwijl de identiteit van de kwaadaardige bron wordt gemaskeerd, waardoor mitigatie-inspanningen worden voorkomen. Als het bron-IP-adres wordt vervalst en continu gerandomiseerd, het blokkeren van kwaadaardige Verzoeken wordt moeilijk. IP spoofing maakt het ook moeilijk voor wetshandhavings-en cybersecurityteams om de dader van de aanval op te sporen.
spoofing wordt ook gebruikt om zich voor te doen als een ander apparaat, zodat reacties naar dat doelapparaat worden gestuurd., Volumetrische aanvallen zoals NTP-versterking en DNS-versterking maken gebruik van deze kwetsbaarheid. De mogelijkheid om het bron-IP-adres aan te passen is inherent aan het ontwerp van TCP/IP, waardoor het een permanent beveiligingsprobleem is.
tangentieel aan DDoS-aanvallen, kan spoofing ook worden gedaan met als doel zich te vermommen als een ander apparaat om authenticatie te omzeilen en toegang te krijgen tot of te “kapen” van een sessie van een gebruiker.
hoe te beschermen tegen IP-spoofing (pakketfiltering)
hoewel IP-spoofing niet kan worden voorkomen, kunnen maatregelen worden genomen om te voorkomen dat spoofed pakketten infiltreren in een netwerk., Een veel voorkomende verdediging tegen spoofing is binnendringen filteren, beschreven in BCP38 (een best Common Practice document). Ingress filtering is een vorm van packet filtering meestal geà mplementeerd op een netwerk rand apparaat dat inkomende IP-pakketten onderzoekt en kijkt naar hun bron headers. Als de bronheaders op die pakketten niet overeenkomen met hun oorsprong of ze er anders verdacht uitzien, worden de pakketten afgewezen., Sommige netwerken zullen ook egress filtering implementeren, die kijkt naar IP-pakketten die het netwerk verlaten, om ervoor te zorgen dat die pakketten legitieme bronheaders hebben om te voorkomen dat iemand binnen het netwerk een uitgaande kwaadaardige aanval start met behulp van IP-spoofing.