Что такое IP спуфинг?

Поддельный IP-адрес: Вот почему работает спуфинг

Основная причина DoS и DDoS атак кроется в незащищенных заголовках адресов источника и назначения. Не существует уровня безопасности, который обнаруживает манипуляции в заголовке. Дело в том, что хакер не может получить доступ к данным, поскольку адрес назначения остается неизменным.

Злоумышленник прячется за пакетом данных. При DoS- и DDoS-атаках большие пакеты данных с множеством поддельных IP-адресов посылаются системам в сети.

Пакеты данных отправляются обратно на адрес источника – взломанный IP – в качестве ответа. Серверы в сети парализованы. Хакер остается неузнанным.

Как злоумышленники перехитрили трехстороннее рукопожатие

Термин“трехстороннее рукопожатие” или “рукопожатие” относится к многоуровневой процедуре (TCP/IP), с помощью которой два экземпляра взаимно аутентифицируются. Между клиентом и сервером устанавливается соединение. Данные передаются только после аутентификации. Эта процедура является недостаточной и позволяет осуществлять IP-спуфинг.

Злоумышленники используют эти три метода, чтобы перехитрить процедуру TCP/IP:

Неслепая подмена

Атакующий находится в той же подсети. Он может получить номера последовательности и ACK из пакетов, не вычисляя их.

Слепая подмена

Атакующий находится за пределами подсети. Эта форма явно более сложная. Хакер узнает порядковые номера для связи с целевым компьютером. Современные операционные системы генерируют случайные числа, которые гораздо труднее угадать. Злоумышленники, знающие алгоритм, найдут следующие порядковые номера. К счастью, подмена вслепую встречается довольно редко.

Наводнение SYN

Типичной DoS-атакой является SYN flooding (TCP). Атакующий заливает (DoS-атака) жертву большим количеством SYN-пакетов. Они не могут быть подтверждены. Релевантная информация больше не обрабатывается из-за перегрузки. “Нормальная” работа рушится.

В принципе, каждый брандмауэр проверяет входящие пакеты данных. Как только внутренний IP оказывается в публичной сети, это уже атака.

Меры противодействия: Как защитить себя от IP-спуфинга

1. Используйте IPv6: Благодаря IPv6 атаки с подменой IP-адресов должны остаться в прошлом. Он предлагает дополнительные опции аутентификации и шифрования в заголовке пакетов. Мы уже сообщали об улучшенной безопасности IPv6.
2. Комплексная фильтрация пакетов на маршрутизаторе или шлюзе безопасности. Информация с адресами источников внутри сети анализируется и отбрасывается. В то же время Вы фильтруете исходящие пакеты.
3. Методы входа в систему Все входы в систему происходят через зашифрованные соединения. Это еще один аспект безопасности, который предотвращает атаки IP-спуфинга. Лучше всего обойтись без процедур аутентификации на основе хоста.
4. Старые операционные системы и сетевые устройства работают с устаревшими стандартами безопасности, которые можно заменить.
5. Новые брандмауэры имеют встроенную защиту от спуфинга для TCP. Порядковые номера генерируются случайным образом, что затрудняет предсказание следующих номеров.

Для компаний: Найдите хакера, который еще лучше, чем сами атаки, и тогда лучше всего нанять его!