IP-спуфинг: Простая манипуляция пакетами данных злоумышленниками

Независимо от того, пользуетесь ли вы интернетом как частное лицо или отвечаете за локальную сеть: Защита от несанкционированного доступа или системных атак всегда играет важную роль. Преступники десятилетиями получали доступ к другим компьютерным системам различными способами и с разным объемом причиненного ущерба. Сама атака обычно не наносит ущерба системе, к которой осуществляется доступ, если злоумышленники знают свое дело. А многие киберпреступники умеют заметать следы так, что определить происхождение атаки обычными средствами практически невозможно. Одним из самых популярных приемов киберпреступников всегда был спуфинг, который в своей первоначальной форме — IP-спуфинг — появился в экспертных кругах в 1980-х годах.

IP-спуфинг — это метод, при котором пакеты данных TCP/IP или UDP/IP отправляются с поддельным адресом отправителя. Злоумышленник использует адрес авторизованной, заслуживающей доверия системы. Таким образом, он может вводить в чужую систему собственные пакеты, которые в противном случае были бы заблокированы системой фильтрации. В большинстве случаев IP-спуфинг используется для осуществления DoS- и DDoS-атак. При определенных обстоятельствах злоумышленник может также использовать украденный IP для перехвата или манипулирования трафиком данных между двумя или более компьютерными системами. Такие атаки типа «человек посередине», использующие спуфинг IP, в настоящее время требуют (за редким исключением), чтобы атакующий находился в той же подсети, что и жертва.

Возможность фальсификации IP-адреса является результатом того, что адреса источника и назначения, которые содержит каждый IP-пакет в своем заголовке, недостаточно защищены от манипуляций. Не существует механизмов для шифрования этой информации или для проверки ее правильности. При простой атаке IP-спуфинга злоумышленник не получает доступ к трафику данных. Атака просто изменяет адресную запись в соответствующем пакете, в то время как фактический IP-адрес остается неизменным.  Таким образом, ответ на отправленные данные приходит не к атакующему, а на компьютер, адрес которого указал злоумышленник.

Тот факт, что за IP-пакетом стоит третий, неавторизованный участник, скрыт от отвечающей системы, что делает IP-спуфинг пригодным для ранее рассмотренных DoS- и DDoS-атак. Наиболее вероятны два следующих сценария:

1. На основе украденного адреса источника злоумышленники отправляют большое количество пакетов данных различным системам внутри рассматриваемой сети. Эти системы отвечают на контакт, посылая другой пакет данных, который затем принимается незадействованным компьютером, чей IP-адрес был присвоен.
2. Предполагаемый целевой компьютер получает одновременные пакеты данных с различных фальсифицированных IP-адресов и становится перегруженным.

Компьютер, чей IP-адрес был украден злоумышленниками, может быть как целью DDoS-атаки, так и просто привлечен в качестве инструмента. В обоих случаях злоумышленник остается неизвестным, поскольку отправленные пакеты официально выглядят как исходящие от компьютеров, чьи IP-адреса были захвачены.

Теоретически злоумышленник может инициировать преднамеренную перегрузку из любого места, если целевой компьютер подключен к Интернету. Но, как следствие, прямой доступ к трафику данных теперь гораздо сложнее, если компьютер злоумышленника не находится в той же подсети. Это происходит потому, что перехват пакетов данных возможен только с помощью соответствующего порядкового номера пакета — задача, которая сегодня практически невозможна извне, по сравнению с более ранними днями взлома данных.

В прошлом операционные системы и сетевые устройства генерировали номера транзакций, которые вводились в заголовок TCP, всегда по одной и той же схеме. Злоумышленники могли легко отправлять дополнительные пакеты в целевые системы в тестовых целях и благодаря квитанциям предсказывать следующие порядковые номера. Теперь пакет, стоящий за номером, мог прочитать или манипулировать им, а затем переслать его с поддельным IP-адресом отправителя, и все это без регистрации со стороны двух взаимодействующих систем. Поскольку многие системы полагаются на процедуры входа в систему на основе хоста, передаваемые данные для входа, такие как имена пользователей и пароли, не шифруются, и злоумышленники, если повезет, могут действительно установить соединение. Поскольку современные системы выдают номера последовательности в случайном порядке, эти так называемые атаки с предсказанием последовательности TCP (также известные как слепая подмена) стали практически неэффективными, но старые устройства все еще подвержены риску.

Если IP-спуфер перемещается в той же подсети — например, в локальной сети — что и атакуемая система, ему гораздо проще добраться до номера последовательности или IP-пакетов, стоящих за ним. Вместо того чтобы кропотливо определять его, он может фильтровать и анализировать весь трафик данных и выделять нужные пакеты данных. Это и есть так называемая «неслепая подмена».

На протяжении десятилетий проблема подмены IP-адресов не дает покоя администраторам безопасности и специалистам в компьютерной сфере. В частности, простота DoS- или DDoS-атак приводит к тому, что манипуляции с IP как метод по-прежнему интересны современным преступникам. В связи с этим уже давно существует спрос на целенаправленную фильтрацию исходящего трафика данных интернет-провайдерами, при которой пакеты с источниками, адресованными за пределы базовой сети, регистрируются и отбрасываются. Расходы — главная причина, по которой это требование остается в силе, но никто его не выполняет.

Другая причина нерешительного отношения поставщиков услуг может заключаться в особенностях безопасности новой версии интернет-протокола IPv6. Протокол IPv4 все еще очень распространен, но его преемник включает различные дополнительные возможности аутентификации и шифрования заголовков и пакетов данных, которые в будущем могли бы полностью предотвратить IP-спуфинг. Однако переход на новый протокол адресации оказался делом непростым, о чем свидетельствует, например, отсутствие поддержки IPv6 в различных распространенных сетевых устройствах.

Для того чтобы предотвратить подделку злоумышленниками своих IP-адресов и присвоение чужих, у пользователей Интернета, желающих проявить инициативу и установить собственные системы защиты, есть возможности. Они сосредоточены на следующих двух мерах:

• Установите комплексную систему фильтрации пакетов на маршрутизаторе или шлюзе безопасности. Она должна анализировать и отбрасывать входящие пакеты данных, если в них указаны адреса отправителей устройств внутри вашей сети. Исходящие пакеты с адресами отправителей за пределами сети также должны отслеживаться и фильтроваться. Эксперты по безопасности склонны считать это обязанностью интернет-провайдера.

• Держитесь подальше от систем аутентификации на основе хоста. Убедитесь, что все методы входа в систему осуществляются через зашифрованные соединения. Это минимизирует риск атаки с подменой IP-адреса в вашей собственной сети и одновременно устанавливает важные стандарты общей безопасности.

Конечно, старые операционные системы и сетевые устройства также должны быть заменены, если они все еще используются. Это не только усилит защиту от IP-спуфинга, но и устранит ряд других пробелов в системе безопасности.