Что такое IP-спуфинг и как с ним бороться

Спуфинг – это тип кибератаки, в которой маскировка под легальный объект (компьютер, устройство или сеть) используется как средство проникновения в другие компьютерные сети. Это один из многих инструментов, используемый злоумышленниками для доступа к компьютерам с целью получения конфиденциальных данных, превращения их в «зомби» (для злонамеренного использования) или запуска DoS-атак (атак типа «отказ в обслуживании»). Самым распространенным типом спуфинга является IP-спуфинг.

Что такое IP-спуфинг?

IP-спуфинг – это подмена IP-адресов, выполняемая посредством создания IP-пакетов с ложным IP-адресом источника для имитации другой компьютерной системы. IP-спуфинг позволяет киберпреступникам незаметно выполнять вредоносные действия, например, кражу данных, заражение устройства вредоносными программами или нарушение работы сервера.

Механизм работы IP-спуфинга

Начнем с базовой информации. Данные, передаваемые через интернет, сначала разбиваются на пакеты, затем пакеты независимо друг от друга передаются по сети, и в конце снова собираются воедино. Каждый пакет имеет заголовок IP, содержащий информацию о нем, в частности, IP-адрес источника и IP-адрес назначения.

При IP-спуфинге злоумышленники используют инструменты изменения IP-адреса источника в заголовке пакета, чтобы система-получатель считала, что пакет передается из надежного источника, например с другого компьютера разрешенной сети, и принимала его. Это происходит на уровне сети, поэтому внешние признаки взлома отсутствуют.

В системах, где установлена доверенная связь между сетевыми компьютерами, IP-спуфинг может использоваться для обхода проверки подлинности IP-адресов. В таких системах используется концепция, называемая защитой периметра, при которой устройства за пределами сети считаются источниками угроз, а внутри сети –доверенными. Как только злоумышленникам удается взломать сеть и проникнуть внутрь, они без труда могут выполнять любые действия в системе. Из-за этой уязвимости вместо стандартной проверки подлинности все чаще используются более надежные подходы к обеспечению безопасности, например, многоэтапная проверка подлинности.

Киберпреступники часто используют IP-спуфинг для онлайн-мошенничества, кражи личных данных и нарушения работы корпоративных веб-сайтов и серверов, однако иногда IP-спуфинг может использоваться в законных целях. Например, компании могут использовать IP-спуфинг для тестирования веб-сайтов перед запуском. Для тестирования веб-сайта требуется создать тысячи виртуальных пользователей, чтобы проверить, будет ли сайт способен обработать большое количество входов в систему без перегрузки. Это законный способ использования IP-спуфинга.

Типы IP-спуфинга

Ниже описаны три наиболее распространенных формы атак IP-спуфинга.

DDoS-атаки (распределенный отказ в обслуживании)

При DDoS-атаке злоумышленники используют поддельные IP-адреса для перегрузки серверов пакетами данных. В результате большие объемы интернет-трафика замедляют или нарушают работу веб-сайтов и сетей, а злоумышленники скрывают свою личность.

Маскировка ботнет-устройств

IP-спуфинг может использоваться для получения доступа к компьютерам путем маскировки ботнетов. Ботнет – это сеть компьютеров, управляемых злоумышленником из единого источника. На каждом компьютере работает специальная программа-бот, выполняющая вредоносные действия от имени злоумышленника. IP-спуфинг позволяет замаскировать ботнет, поскольку каждое устройство в такой сети имеет поддельный IP-адрес, что затрудняет отслеживание атаки. Это увеличивает продолжительность атаки, а вместе с ней и выигрыш злоумышленника.

Атаки типа «человек посередине»

Еще одной формой вредоносного IP-спуфинга является атака типа «человек посередине», при которой злоумышленники вклиниваются между двумя компьютерами, меняют пакеты и передают их без ведома отправителя или получателя. Если в результате подделки IP-адреса злоумышленники получат доступ к личным учетным записям для общения, они смогут, например, украсть информацию, направить пользователей на поддельные веб-сайты и многое другое. Со временем злоумышленники собирают огромное количество конфиденциальной информации, которую могут использовать или продать. Таким образом, атаки типа «человек посередине» считаются более прибыльными, чем атаки других типов.

Примеры IP-спуфинга

Одним из самых известных примеров атаки с использованием IP-спуфинга является DDoS-атака на GitHub в 2018 году. GitHub – это платформа для размещения кода. В феврале 2018 года она подверглась крупнейшей DDoS-атаке за всю историю. Злоумышленники подделали IP-адрес GitHub и провели масштабную скоординированную атаку, в результате которой сервис был недоступен в течение 20 минут. GitHub восстановил работу, перенаправив трафик через партнера-посредника, а также выполнил очистку данных и заблокировал злоумышленников.

Более ранним примером спуфинговой атаки является разоблаченная Европолом атака типа «человек посередине», имевшая место в 2015 году и охватившая весь континент. В процессе атаки злоумышленники перехватывали платежные запросы между предприятиями и клиентами. Они использовали IP-спуфинг для получения мошеннического доступа к учетным записям корпоративной электронной почты компаний. Затем отслеживали сообщения, перехватывали платежные запросы от клиентов, и обманным путем вынуждали этих клиентов отправлять платежи на принадлежащие им банковские счета.

IP-спуфинг – это не единственная форма сетевого спуфинга. Существует различные типы спуфинга: спуфинг электронной почты, веб-сайтов, ARP, текстовых сообщений и других объектов. Вы можете ознакомиться с полным руководством «Лаборатории Касперского» по различным типам спуфинга.

Как обнаружить IP-спуфинг

Основная опасность IP-спуфинга заключается в том, что его трудно обнаружить конечным пользователям, поскольку атаки с подменой IP-адресов выполняются на сетевом уровне – на уровне 3 Сетевой модели OSI (Open System Interconnection). Атаки не оставляют внешних признаков взлома, потому что поддельные запросы на подключение часто выглядят как настоящие.

Однако в компаниях могут использоваться инструменты мониторинга сети для анализа трафика на конечных точках. Самым распространенным способом является фильтрация пакетов. Системы фильтрации пакетов, часто являющиеся компонентами роутеров и сетевых экранов, выявляют несоответствие между IP-адресом пакета и целевыми IP-адресами, указанными в списках контроля доступа и обнаруживают мошеннические пакеты.

Существуют два основных типа фильтрации: фильтрация входящих пакетов и фильтрация исходящих пакетов.

• При фильтрации входящих пакетов проверяется, совпадает ли IP-адрес источника, указанный в заголовке пакета, одному из разрешенных IP-адресов. Все подозрительные пакеты будут отклонены.
• При фильтрации исходящих пакетов выполняется поиск пакетов, у которых IP-адреса источника не совпадают с IP-адресами, принадлежащими сети организации. Это сделано для предотвращения запуска спуфинговых атак изнутри компании.

Как защититься от IP-спуфинга

Спуфинговые атаки предназначены для сокрытия личности злоумышленников и затруднения их обнаружения. Для снижения рисков можно предпринять ряд мер по защите от спуфинга. Конечные пользователи не могут предотвратить IP-спуфинг. Это задача отделов по работе с серверами.

Защита от IP-спуфинга для ИТ-специалистов

Большинство стратегий предотвращения IP-спуфинга должны разрабатываться и внедряться ИТ-специалистами. Способы защиты от IP-спуфинга включают:

• Мониторинг сетей на предмет нетипичной активности.
• Развертывание фильтрации пакетов для обнаружения несоответствий (например, исходящих пакетов с IP-адресами источника, не совпадающими с IP-адресами, принадлежащими сети организации).
• Использование надежных методов проверки (даже для сетевых компьютеров).
• Проверка подлинности всех IP-адресов и использование инструмента блокировки сетевых атак.
• Размещение хотя бы части вычислительных ресурсов за сетевым экраном. Сетевой экран помогает защитить сеть, проверяя трафик, отфильтровывая трафик с поддельных IP-адресов и блокируя неавторизованный доступ извне.

Веб-дизайнерам рекомендуется переводить сайты на новый интернет-протокол – IPv6. Его использование затрудняет IP-спуфинг, поскольку протокол включает шифрование и аутентификацию. Однако большая часть мирового интернет-трафика по-прежнему передается по протоколу IPv4.

Защита от IP-спуфинга для конечных пользователей

Конечные пользователи не могут предотвратить IP-спуфинг, однако соблюдение кибергигиены поможет повысить безопасность при работе в интернете. Разумные меры предосторожности включают следующие действия:

Установите надежные параметры безопасности для домашней сети

Для этого необходимо изменить заданные по умолчанию имена пользователей и пароли на домашнем роутере и на всех подключенных к нему устройствах, а также использовать надежные пароли. Надежный пароль сложно угадать, он состоит минимум из 12 символов и содержит сочетание заглавных и строчных букв, цифр и специальных символов. Вы можете ознакомиться с полным руководством по настройке безопасной домашней сети от «Лаборатории Касперского».

Соблюдайте осторожность при использовании публичных сетей Wi-Fi

Избегайте совершения транзакций, таких как покупки или банковские операции, в незащищенной публичной сети Wi-Fi. Если необходимо воспользоваться публичной точкой доступа, для обеспечения безопасности используйте виртуальную частную сеть (VPN). VPN шифрует интернет-соединение для защиты отправляемых и получаемых личных данных.

Убедитесь в надежности посещаемых веб-сайтов

Некоторые веб-сайты не шифруют данные. Сайты, у которых нет актуального SSL-сертификата, более уязвимы для атак. Сайты, веб-адрес которых начинается с HTTP, а не с HTTPS, не являются защищенными, что несет риски для пользователей, указывающих конфиденциальную информацию. Убедитесь, что вы используете надежные веб-сайты (HTTPS), для которых в адресной строке рядом с веб-адресом отображается значок замка

Сохраняйте бдительность, чтобы избежать фишинга

Остерегайтесь фишинговых писем от злоумышленников с просьбой обновить пароль, учетные данные для входа или данные платежной карты. Фишинговые электронные письма выглядят как сообщения из надежных источников, однако их отправляют мошенники. Не переходите по ссылкам в фишинговых письмах и не открывайте вложения.

Используйте комплексное антивирусное решение

Лучший способ обеспечения безопасности при работе в интернете – использование комплексного антивирусного решения, предоставляющего защиту от злоумышленников, вирусов, вредоносных программ и новейших онлайн-угроз. Кроме того, регулярное обновление программного обеспечения гарантирует наличие новейших функций безопасности.

Рекомендуемые продукты

• Антивирус Касперского
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Статьи по теме:

• Как скрыть свой IP-адрес
• Что такое DNS-спуфинг и как его предотвратить
• Что такое подмена телефонных номеров
• Что такое приватность данных?