IP-спуфинг – это создание пакетов интернет-протокола (IP), которые имеют измененный адрес источника, чтобы либо скрыть личность отправителя, притворяться другой компьютерной системой, либо и то, и другое. Это метод часто используется злоумышленниками для вызова DDoS-атак на целевое устройство или окружающую инфраструктуру.
Отправка и получение IP-пакетов является основным способом взаимодействия сетевых компьютеров и других устройств и составляет основу современного интернета. Все IP-пакеты содержат заголовок, который предшествует телу пакета и содержит важную информацию о маршрутизации, включая адрес источника. В обычном пакете IP-адрес источника является адресом отправителя пакета. Если пакет был подделан, адрес источника будет подделан.
IP-спуфинг аналогичен атакующему, отправляющему пакет кому-либо с неправильным обратным адресом. Если человек, получающий посылку, хочет остановить отправителя от отправки посылок, блокировка всех посылок с фиктивного адреса мало что даст, так как обратный адрес легко меняется. Соответственно, если получатель хочет ответить на обратный адрес, его пакет ответов отправится куда-то еще, кроме реального отправителя. Возможность подделывать адреса пакетов является основной уязвимостью, используемой многими DDoS-атаками.
DDoS-атаки часто используют спуфинг с целью подавления цели трафиком, маскируя личность вредоносного источника, предотвращая усилия по смягчению последствий. Если IP-адрес источника фальсифицирован и постоянно рандомизирован, блокировка вредоносных запросов становится затруднительной. IP-спуфинг также делает трудным делом для правоохранительных органов и команд кибербезопасности разыскать виновника нападения.
Спуфинг также используется для маскировки под другое устройство, чтобы ответы отправлялись на это целевое устройство. Объемные атаки, такие как усиление NTP и усиление DNS, используют эту уязвимость. Возможность изменения исходного IP-адреса присуща дизайну TCP / IP, что делает его постоянной проблемой безопасности.
Касательно к DDoS-атакам, спуфинг также может быть сделан с целью маскировки под другое устройство, чтобы обойти проверку подлинности и получить доступ или «угнать» сеанс пользователя.
Защита от IP-спуфинга (фильтрация пакетов)
В то время как IP-спуфинг не может быть предотвращен, могут быть приняты меры, чтобы остановить поддельные пакеты от проникновения в сеть. Распространенной защитой от спуфинга является фильтрация входа, описанная в BCP38 (документ с наилучшей общей практикой). Входная фильтрация – это форма фильтрации пакетов, обычно реализуемая на пограничном устройстве сети, которое проверяет входящие IP-пакеты и смотрит на их исходные заголовки. Если исходные заголовки на тех пакетах не совпадают с их происхождением или они выглядят подозрительными, пакеты отклоняются. Некоторые сети также реализуют фильтрацию исходящих сообщений, которая проверяет IP-пакеты, выходящие из сети, гарантируя, что эти пакеты имеют допустимые заголовки источника, чтобы предотвратить запуск исходящей вредоносной атаки с помощью IP-спуфинга.
На видео: Спуфинг: что это такое и зачем он нужен
