Кража личных данных всегда представляет угрозу, независимо от носителя. Так называемая “подмена IP-адресов” является распространенным способом для злоумышленников быстро завоевать доверие к своим попыткам взлома. Учитывая, что каждый компьютер и сервер имеют уникальный идентификатор (“интернет—протокол” или IP — адрес), практически любой, кто пользуется интернетом, может быть уязвим. Подмена IP-адресов — это способ “подделать” внешний вид исходного адреса (например, адреса электронной почты) в качестве метода обмана. Это может проявляться в различных формах, так что вы должны быть настороже. На протяжении всего этого поста мы будем говорить о подмене IP-адресов, что это такое, почему вы являетесь целью и многое другое. Мы также поговорим о некоторых наиболее распространенных атаках подмены IP-адресов, с которыми вы столкнетесь, а также о некоторых законных вариантах использования подмены IP-адресов.
Что такое подмена IP-адресов?
В общем смысле, подмена IP-адресов забирает часть данных, которые вы отправляете через интернет, и создает впечатление, что они получены из законного источника. Подмена IP-адресов — это широкий термин для обозначения множества различных атак:
- Подмена IP-адреса: это просто обфускация IP-адреса злоумышленника для проведения атак типа «отказ в обслуживании» (DoS) и многого другого.
- Подмена сервера доменных имен (DNS): это изменит исходный IP-адрес DNS, чтобы перенаправить доменное имя на другой IP-адрес.
- Подмена протокола разрешения адресов (ARP): попытка подмены ARP является одной из наиболее сложных атак. Это включает в себя привязку MAC-адреса управления доступом к мультимедиа компьютера к законному IP-адресу с использованием поддельных сообщений ARP.
- Объясняя более техническим, IP-подмена берет данные и изменяет некоторую идентифицируемую информацию на сетевом уровне. Это делает подмену практически незаметной.
Например, возьмем DoS-атаку. При этом используется набор ботов, использующих поддельные IP-адреса для отправки данных на определенный сайт и сервер, переводя их в автономный режим. Здесь подмена IP-адреса затрудняет обнаружение атаки, пока не станет слишком поздно, и ее также трудно отследить постфактум. Атаки типа «Machine-in-the-middle» (MITM) также используют подмену IP-адресов, поскольку подход MITM основан на фальсификации доверия между двумя конечными точками. Позже мы подробнее поговорим об обеих этих атаках.
Как происходит подмена IP-адресов
Чтобы лучше понять подмену IP-адресов, давайте дадим вам некоторый контекст о том, как интернет отправляет и использует данные. Каждый компьютер использует IP-адрес, и любые данные, которые вы отправляете, разбиваются на множество блоков (“пакетов”). Каждый пакет отправляется на индивидуальной основе. Затем, как только они достигают конца цепочки, они собираются заново и представляются как единое целое. Более того, каждый пакет также имеет свою идентифицируемую информацию (“заголовок”), которая будет включать IP-адрес как источника, так и получателя. Теоретически предполагается, что это гарантирует, что данные поступают в пункт назначения без несанкционированного доступа. Однако это не всегда так.
Подмена IP-адреса использует заголовок исходного IP-адреса и изменяет некоторые детали, чтобы он выглядел так, как будто он подлинный. Таким образом, это может привести к нарушению даже самых строгих и безопасных сетей. В результате веб-инженеры часто пытаются найти новые способы защиты информации, распространяющейся по сети. Например, IPv6 — это более новый протокол, который обеспечивает шифрование и аутентификацию. Для конечных пользователей secure shell (SSH) и secure socket layers (SSL) помогают смягчить атаки, но позже мы обсудим, почему это не может устранить проблему. Чем больше количество шагов шифрования вы реализуете, тем лучше вы можете защитить свой компьютер, по крайней мере теоретически. Также стоит отметить, что подмена IP-адресов не является незаконной практикой, именно поэтому она широко распространена. Существует множество законных способов подмены IP-адресов, которые мы обсудим в другом разделе. Таким образом, в то время как подмена IP-адреса сама по себе ставит хакера в тупик, это может быть не единственный метод, используемый для нарушения доверия.
ВАШУ РЕКЛАМУ СКЛИКИВАЮТ КОНКУРЕНТЫ? Подключите защиту по ссылке и экономьте ваш рекламный бюджет!
Почему ваш IP-адрес является целью для подмены
Отбросив все моральные и этические соображения в сторону, личность другого пользователя имеет огромную ценность. В конце концов, есть много плохих актеров, которые, будь у них такая возможность, с радостью использовали бы чужую личность, чтобы получить что-то, не опасаясь моральных последствий. Подделка IP-адресов является дорогостоящим занятием для многих злоумышленников. Акт подмены IP-адреса не имеет большой ценности, но возможности, которые вы получите, могут стать джекпотом. Например, с помощью подмены IP-адреса пользователь может выдать себя за более надежный адрес, чтобы получить личную информацию (и многое другое) от ничего не подозревающего пользователя.
Это также может иметь побочный эффект, когда речь заходит и о других пользователях. Хакеру не нужно подделывать IP—адрес каждой цели — им нужен только один, чтобы взломать защиту. Используя эти взломанные учетные данные, тот же хакер может также завоевать доверие других пользователей сети и заставить их делиться личной информацией. Как таковой, IP-адрес сам по себе не представляет ценности. Однако, в зависимости от того, что делается с поддельным IP-адресом, выигрыш может быть огромным, и потенциал доступа к другим системам с помощью подмены IP-адреса также является значительным.
3 наиболее распространенных типа атак с помощью подмены IP-адресов
Подмена IP-адресов хорошо поддается определенным типам атак. Давайте перейдем к трем следующим.
Маскировка ботнетов
Ботнет — это сеть компьютеров, которыми злоумышленник управляет из одного источника. На каждом из этих компьютеров работает специальный бот, который осуществляет атаки от имени злоумышленника. Возможность маскировать ботнеты была бы невозможна без подмены IP-адресов. В обычных обстоятельствах хакеры получают контроль с помощью заражения, такого как вредоносное ПО. Использование ботнетов может помочь злоумышленнику осуществлять спам-атаки, DDoS-атаки, мошенничество с рекламой, атаки программ-вымогателей и многое другое. Это универсальный способ проводить целенаправленные стычки с другими пользователями.
Одной из причин этого является подмена IP-адресов. Каждый бот в сети часто имеет поддельный IP-адрес, что затрудняет отслеживание злоумышленника. Основное преимущество подмены IP-адресов здесь заключается в том, чтобы избежать правоохранительных органов. Однако это не единственный случай. Например, использование ботнетов с поддельными IP-адресами также не позволяет цели уведомлять владельцев о проблеме. Во-первых, это может продлить атаку и позволить хакеру “переключить” внимание на другие цели. Теоретически это может привести к тому, что атака будет выполняться бесконечно, чтобы максимизировать отдачу.
Прямые атаки типа «Отказ в обслуживании» (DDoS)
Если сайт выходит из строя из-за избыточного и подавляющего вредоносного трафика на сервере, это DDoS-атака. Это может нанести вред любому владельцу сайта, и есть много способов смягчить последствия. Это охватывает несколько связанных атак подмены и методов, которые объединяются, чтобы создать целую атаку.
Подмена DNS
Во-первых, злоумышленник будет использовать подмену DNS для проникновения в сеть. Злоумышленник будет использовать подмену, чтобы изменить доменное имя, связанное с DNS, на другой IP-адрес. Отсюда вы можете провести любое количество дальнейших атак, но заражение вредоносными программами является популярным выбором. Поскольку он, по сути, перенаправляет трафик из законных источников на вредоносные без обнаружения, легко заразить другой компьютер. Оттуда больше машин поддастся заражению и создаст ботнет для эффективного проведения DDoS-атаки.
Подмена IP-адреса
После подмены DNS злоумышленник выполнит другую подмену IP-адресов, чтобы помочь запутать отдельных ботов в сети. Это часто следует за процессом постоянной рандомизации. Таким образом, IP-адрес никогда не остается неизменным слишком долго, что делает его практически невозможным для обнаружения и отслеживания. Эта атака на сетевом уровне не может быть обнаружена конечным пользователем (и ставит в тупик многих экспертов на стороне сервера). Это эффективный способ совершать злонамеренные нападения без последствий.
Отравление АРП
ARP-подмена (или “отравление”) — это еще один способ проведения DDoS-атак. Это намного сложнее, чем взлом для маскировки ботнетов и подмены IP-адресов, но он включает в себя их обоих для проведения атаки. Идея состоит в том, чтобы настроить таргетинг на локальную сеть (LAN) и отправить через вредоносные пакеты данных ARP для изменения заданных IP-адресов в таблице MAC. Это простой способ для злоумышленника получить доступ к большому количеству компьютеров одновременно. Цель ARP-отравления состоит в том, чтобы направить весь сетевой трафик через зараженный компьютер, а затем управлять им оттуда. Это просто сделать с помощью компьютера злоумышленника, и это позволяет им выбирать между DDoS-атакой или MITM-атакой.
Атаки MITM
Атаки типа «Машина посередине» (MITM) особенно сложны, высокоэффективны и крайне катастрофичны для сети. Эти атаки представляют собой способ перехвата данных с вашего компьютера до того, как они попадут на сервер, к которому вы подключаетесь (скажем, с помощью вашего веб-браузера). Это позволяет злоумышленнику взаимодействовать с вами, используя поддельные веб-сайты, чтобы украсть вашу информацию. В некоторых случаях злоумышленником является третья сторона, которая перехватывает передачу между двумя законными источниками, что повышает эффективность атаки.
Конечно, атаки MITM основаны на подмене IP-адресов, поскольку должно быть нарушение доверия без ведома пользователя. Более того, проведение MITM-атаки имеет большую ценность по сравнению с другими, потому что хакер может продолжать собирать данные в течение длительного времени и продавать их другим. Реальные случаи MITM-атак показывают, как происходит подмена IP-адресов. Если вы подделываете IP-адрес и получаете доступ к личным учетным записям для общения, это позволяет вам отслеживать любой аспект этого общения. Оттуда вы можете выбирать информацию, направлять пользователей на поддельные веб-сайты и многое другое. В целом, MITM-атака — это опасный и очень прибыльный способ получения пользовательской информации, и подмена IP-адресов является ее центральной частью.
Почему подмена IP-адресов опасна для вашего сайта и пользователей
Поскольку подмена IP-адресов — это то, что происходит на низком сетевом уровне, это представляет опасность почти для каждого пользователя в интернете. Фишинг и подмена идут рука об руку. И хорошая атака с подменой не будет выглядеть как попытка фишинга. Это означает, что у пользователей не будет никаких оснований для осторожности, и в результате они могут передать конфиденциальную информацию.
Главной целью будут критически важные для бизнеса элементы, такие как системы безопасности и брандмауэры. Вот почему безопасность сайта является для многих проблемой номер один. Вам нужно не только реализовать достаточную функциональность для смягчения последствий атаки, но и убедиться, что пользователи вашей сети проявляют бдительность и используют надлежащие методы обеспечения безопасности. Однако один аспект подмены IP-адресов делает ее сдерживание менее простым: этот метод имеет много законных вариантов использования в интернете.
Законное использование для подмены IP-ддресов
Поскольку подмена IP-адресов имеет множество не злонамеренных вариантов использования, вы мало что можете сделать, чтобы помешать другим использовать ее. Например, тысячи “этичных хакеров” ищут тестовые системы для компаний. Этот тип этического взлома представляет собой санкционированное нарушение системы, предназначенное для проверки ресурсов и надежности системы безопасности. Это будет выглядеть как злонамеренный взлом. Хакер будет изучать цель, получать доступ к системе, а также скрывать проникновение.
Часто можно обнаружить, что неэтичные хакеры превращаются в этичных и находят работу в компаниях, которые они, возможно, считали целью в прошлом. Вы даже можете найти официальные экзамены и сертификаты, которые помогут вам получить надлежащие полномочия. Некоторые компании также будут использовать подмену IP-адресов в имитационных упражнениях, не связанных с системными нарушениями. Например, массовые рассылки по почте являются хорошим вариантом использования для тысяч IP-адресов, и все они должны быть созданы с помощью (законной) подмены. Тесты регистрации пользователей также используют подмену IP-адресов для имитации результатов. Любая ситуация, когда вам нужно имитировать множество пользователей, является идеальным случаем для этичной подмены IP-адресов.
Почему вы не можете предотвратить подмену IP-адресов
Поскольку подмену так сложно обнаружить, и природа метода заключается в сокрытии истинной личности, вы мало что можете сделать, чтобы предотвратить это. Однако вы можете свести риск к минимуму и свести на нет последствия. Важно отметить, что конечный пользователь (т.е. клиентская машина) никак не может остановить подмену. Задача серверной команды — как можно лучше предотвращать подмену IP-адресов. Есть несколько способов создать препятствия между хакером и потенциальной целью. Некоторые из упомянутых до сих пор включают:
- Использование более безопасного протокола, такого как IPv6
- Обеспечение базе пользователей хорошую индивидуальную безопасность при использовании сайта и сети
- Внедрение SSL и SSH на ваш сайт
Однако вы можете сделать еще кое-что. Например, вы можете использовать выделенный брандмауэр веб-приложений (WAF), такой как Sucuri, который поможет “возвести высокие стены” вокруг вашего сайта. Вы также можете внедрить общедоступную критическую инфраструктуру (PKI), чтобы помочь аутентифицировать пользователей и связанные с ними данные. Это зависит от комбинации закрытого и открытого ключей для шифрования и дешифрования данных. Из-за природы шифрования хакерам гораздо сложнее взломать его.
Мониторинг сети — это базовый метод, который также может помочь вам обнаружить признаки подмены IP-адресов или связанных с ними атак. Это может принимать разные формы, но чем лучше вы знаете свою систему, тем больше шансов обнаружить вредоносные атаки. Фильтрация пакетов также может помочь в борьбе с попытками подмены IP-адресов. Фильтрация ”Вход“ и ”выход» просматривает исходные заголовки для входящих и исходящих сообщений. Если что-то не проходит этот фильтр, это не повлияет на пользователей в сети. Наконец, глубокая проверка пакетов (DPI) — это аналогичный метод, который столь же эффективен. Это, наряду с другими приведенными здесь методами, может быть даже объединено, чтобы помочь укрепить сеть или сервер.
Итоги
Ваш IP-адрес уникален для вас, как и для каждого используемого сегодня компьютера. Этот адрес помогает решать многие задачи, такие как аутентификация, шифрование и многое другое. В дальнейшем это делает практически любой IP-адрес мишенью для потенциальных хакеров или преступников. Подмена IP-адресов подделывает законность адреса и использует его для взлома защищенных сетей с целью получения дополнительной выгоды.
Исправление подмены IP-адресов — это нечто, находящееся вне контроля конечного пользователя, и системным администраторам также может быть трудно справиться с этим. В целом, вы можете только смягчить влияние подмены IP-адресов на вашу сеть, а не полностью искоренить ее. Тем не менее, существует множество препятствий, которые вы можете поставить на пути потенциально злонамеренного пользователя. Помогают обычные методы шифрования, а также хороший брандмауэр и стратегия мониторинга сети.
