Giới thiệu về giả mạo IP (và Cách ngăn chặn)

Đánh cắp danh tính luôn là một mối đe dọa, bất kể phương tiện nào. Cái gọi là “giả mạo IP” là một cách phổ biến để những người dùng độc hại có được uy tín nhanh chóng cho các nỗ lực tấn công của họ.

Do mọi máy tính và máy chủ đều có một mã định danh duy nhất (“giao thức internet” – hoặc địa chỉ IP), hầu như bất kỳ ai sử dụng internet đều có thể dễ bị tấn công. Giả mạo IP là một cách để “giả mạo” sự xuất hiện của địa chỉ nguồn (chẳng hạn như địa chỉ email) như một kỹ thuật mạo danh. Nó có thể ở nhiều dạng khác nhau, vì vậy bạn phải đề phòng.

Trong suốt bài đăng này, chúng ta sẽ nói về giả mạo IP, nó là gì, tại sao bạn lại là mục tiêu và hơn thế nữa. Chúng tôi cũng sẽ nói về một số cuộc tấn công giả mạo IP phổ biến nhất mà bạn sẽ phải đối mặt, cũng như một số cách sử dụng hợp pháp cho việc giả mạo IP.

IP Spoofing là gì?

Theo nghĩa chung, giả mạo IP chiếm một phần dữ liệu bạn gửi qua internet và làm cho nó có vẻ như là từ một nguồn hợp pháp. Giả mạo IP là một thuật ngữ có phạm vi rộng cho nhiều cuộc tấn công khác nhau:

• Giả mạo địa chỉ IP: Đây là một sự xáo trộn đơn giản của địa chỉ IP của kẻ tấn công để tiến hành các cuộc tấn công từ chối dịch vụ (DoS) và hơn thế nữa.
• Giả mạo máy chủ tên miền (DNS): Thao tác này sẽ sửa đổi IP nguồn của DNS để chuyển hướng tên miền sang một IP khác.
• Giả mạo giao thức phân giải địa chỉ (ARP): Một nỗ lực giả mạo ARP là một trong những cuộc tấn công phức tạp hơn. Nó liên quan đến việc liên kết địa chỉ kiểm soát truy cập phương tiện (MAC) của máy tính với một IP hợp pháp bằng cách sử dụng các thông điệp ARP giả mạo.

Để hiểu rõ hơn về kỹ thuật, giả mạo IP lấy dữ liệu và thay đổi một số thông tin nhận dạng ở cấp độ mạng. Điều này làm cho việc giả mạo gần như không thể bị phát hiện.

Ví dụ, thực hiện một cuộc tấn công DoS.

Điều này sử dụng một tập hợp các bot sử dụng địa chỉ IP giả mạo để gửi dữ liệu đến một trang web và máy chủ cụ thể, đưa dữ liệu đó vào chế độ ngoại tuyến. Ở đây, việc giả mạo IP khiến cuộc tấn công khó bị phát hiện cho đến khi quá muộn và tương tự cũng khó lần ra sau thực tế.

Các cuộc tấn công máy ở giữa (MITM) cũng sử dụng giả mạo IP vì cách tiếp cận MITM dựa vào việc giả mạo sự tin cậy giữa hai điểm cuối. Chúng ta sẽ nói chi tiết hơn về cả hai cuộc tấn công này ở phần sau.

Cách giả mạo IP xảy ra

Để hiểu rõ hơn về giả mạo IP, hãy cung cấp cho bạn một số ngữ cảnh về cách Internet gửi và sử dụng dữ liệu.

Mọi máy tính đều sử dụng địa chỉ IP và bất kỳ dữ liệu nào bạn gửi được chia thành nhiều phần (“gói”). Mỗi gói di chuyển trên cơ sở riêng lẻ. Sau đó, khi chúng đến cuối chuỗi, chúng sẽ được tập hợp lại và trình bày như một tổng thể. Hơn nữa, mọi gói tin cũng có thông tin nhận dạng của nó (“tiêu đề”) sẽ bao gồm địa chỉ IP từ cả nguồn và đích.

Về lý thuyết, điều này được cho là để đảm bảo rằng dữ liệu đến đích không bị giả mạo. Tuy nhiên, điều này không phải lúc nào cũng đúng.

Giả mạo IP sử dụng tiêu đề IP nguồn và thay đổi một số chi tiết để làm cho nó giống như là hàng thật. Như vậy, điều này có thể vi phạm ngay cả những mạng nghiêm ngặt và an toàn nhất. Kết quả là các kỹ sư web thường cố gắng tìm ra những cách mới để bảo vệ thông tin đi qua web.

Ví dụ: IPv6 là một giao thức mới hơn xây dựng mã hóa và xác thực. Đối với người dùng cuối, lớp bảo mật (SSH) và lớp cổng bảo mật (SSL) giúp giảm thiểu các cuộc tấn công, nhưng chúng ta sẽ thảo luận lý do tại sao điều này không thể giải quyết vấn đề sau. Về lý thuyết, số lượng bước mã hóa bạn thực hiện càng nhiều thì bạn càng có thể bảo vệ máy tính của mình tốt hơn.

Cũng cần lưu ý rằng giả mạo IP không phải là một hành vi bất hợp pháp, đó là lý do tại sao nó lại phổ biến. Có rất nhiều cách sử dụng hợp pháp cho việc giả mạo IP mà chúng ta sẽ thảo luận trong phần khác. Do đó, mặc dù bản thân việc giả mạo IP đã lọt vào chân của tin tặc, nhưng nó có thể không phải là kỹ thuật duy nhất được sử dụng để vi phạm lòng tin.

Tại sao IP của bạn là mục tiêu cho việc giả mạo

Bỏ tất cả các cân nhắc về đạo đức và đạo đức sang một bên, danh tính người dùng của người khác có giá trị và giá trị to lớn. Rốt cuộc, có rất nhiều kẻ xấu, những người có cơ hội, sẵn sàng sử dụng danh tính của người khác để đạt được thứ gì đó mà không bị ảnh hưởng về mặt đạo đức.

Giả mạo địa chỉ IP là một mục tiêu theo đuổi có giá trị cao đối với nhiều người dùng độc hại. Hành động giả mạo IP không có nhiều giá trị, nhưng cơ hội bạn sẽ đạt được có thể là giải độc đắc.

Ví dụ: thông qua giả mạo IP, người dùng có thể mạo danh một địa chỉ đáng tin cậy hơn để lấy thông tin cá nhân (và hơn thế nữa) từ một người dùng không nghi ngờ.

Điều này cũng có thể có tác dụng kích thích khi nó xảy ra với những người dùng khác. Một hacker không cần phải giả mạo IP của mọi mục tiêu – họ chỉ cần một IP để vi phạm hệ thống phòng thủ. Bằng cách sử dụng các thông tin đăng nhập chưa được công nhận này, cùng một hacker cũng có thể lấy được lòng tin của những người khác trong mạng và dẫn họ chia sẻ thông tin cá nhân.

Như vậy, bản thân IP không có giá trị. Tuy nhiên, tùy thuộc vào những gì được thực hiện với IP giả mạo, phần thưởng có thể rất lớn và tiềm năng truy cập vào các hệ thống khác thông qua giả mạo IP cũng không đáng kể.

3 loại tấn công phổ biến nhất từ IP Spoofing

Giả mạo IP có lợi cho một số kiểu tấn công nhất định. Chúng ta hãy xem xét ba tiếp theo.

1. Mặt nạ Botnet

Mạng botnet là một mạng máy tính mà kẻ tấn công kiểm soát từ một nguồn duy nhất. Mỗi máy tính này chạy một bot chuyên dụng, thực hiện các cuộc tấn công thay mặt cho kẻ xấu. Bạn sẽ thấy rằng khả năng che giấu botnet sẽ không thể thực hiện được nếu không có giả mạo IP.

Trong trường hợp bình thường, tin tặc giành được quyền kiểm soát thông qua lây nhiễm, chẳng hạn như phần mềm độc hại. Việc sử dụng botnet có thể giúp người dùng độc hại thực hiện các cuộc tấn công spam, tấn công DDoS, gian lận quảng cáo, tấn công ransomware, v.v. Đó là một cách linh hoạt để thực hiện các cuộc giao tranh có mục tiêu chống lại những người dùng khác.

Một phần lý do cho điều này là giả mạo IP. Mỗi bot trong mạng thường có một IP giả mạo, khiến kẻ độc hại gặp khó khăn trong việc truy tìm.

Lợi ích chính của việc giả mạo IP ở đây là trốn tránh cơ quan thực thi pháp luật. Tuy nhiên, đây không phải là duy nhất.

Ví dụ: sử dụng mạng botnet với các IP giả mạo cũng ngăn mục tiêu thông báo cho chủ sở hữu về sự cố. Đối với những người mới bắt đầu, điều này có thể kéo dài cuộc tấn công và cho phép hacker “xoay trục” sự tập trung vào các điểm khác. Về lý thuyết, điều này có thể dẫn đến một cuộc tấn công chạy trên cơ sở vô hạn để tối đa hóa lợi nhuận.

2. Các cuộc tấn công từ chối dịch vụ trực tiếp (DDoS)

Nếu một trang web ngừng hoạt động do lưu lượng truy cập độc hại quá mức và quá tải trên máy chủ, thì đây là một cuộc tấn công DDoS. Nó có thể làm tê liệt bất kỳ chủ sở hữu trang web nào và có nhiều cách để giảm thiểu tác động.

Điều này bao gồm một số cuộc tấn công giả mạo liên quan và các kỹ thuật kết hợp để tạo ra toàn bộ cuộc tấn công.

Giả mạo DNS

Đầu tiên, một người dùng độc hại sẽ tìm cách giả mạo DNS để xâm nhập vào mạng. Kẻ xấu sẽ sử dụng hành vi giả mạo để thay đổi tên miền được liên kết với DNS thành một địa chỉ IP khác.

Từ đây, bạn có thể thực hiện thêm bất kỳ cuộc tấn công nào, nhưng lây nhiễm phần mềm độc hại là một lựa chọn phổ biến. Vì về cơ bản, nó chuyển hướng lưu lượng truy cập từ các nguồn hợp pháp sang các nguồn độc hại mà không bị phát hiện, nên rất dễ lây nhiễm sang máy tính khác. Từ đó, nhiều máy hơn sẽ không thể chống lại sự lây nhiễm và tạo ra mạng botnet để thực hiện cuộc tấn công DDoS một cách hiệu quả.

Giả mạo địa chỉ IP

Sau khi giả mạo DNS, kẻ tấn công sẽ thực hiện giả mạo địa chỉ IP khác để giúp làm xáo trộn các bot riêng lẻ trong mạng. Điều này thường tuân theo một quá trình ngẫu nhiên hóa vĩnh viễn. Do đó, địa chỉ IP không bao giờ giữ nguyên quá lâu, điều này khiến nó thực tế không thể phát hiện và theo dõi.

Cuộc tấn công cấp độ mạng này là không thể cho người dùng cuối phát hiện (và nhiều chuyên gia phía máy chủ cũng gây khó khăn). Đó là một cách hiệu quả để thực hiện các cuộc tấn công ác ý mà không gây hậu quả.

Ngộ độc ARP

Giả mạo ARP (hoặc “đầu độc”) là một cách khác để tiến hành các cuộc tấn công DDoS. Nó phức tạp hơn nhiều so với phương pháp brute force che giấu botnet và giả mạo IP, nhưng nó kết hợp cả hai để thực hiện một cuộc tấn công.

Ý tưởng là nhắm mục tiêu một mạng cục bộ (LAN) và gửi qua các gói dữ liệu ARP độc hại để thay đổi địa chỉ IP đã đặt trong bảng MAC. Đó là một cách dễ dàng để kẻ tấn công có thể truy cập vào một số lượng lớn máy tính cùng một lúc.

Mục tiêu của nhiễm độc ARP là chuyển toàn bộ lưu lượng mạng qua một máy tính bị nhiễm, sau đó thao túng nó từ đó. Điều này rất đơn giản để thực hiện thông qua máy tính của kẻ tấn công và nó cho phép họ lựa chọn giữa một cuộc tấn công DDoS hoặc một cuộc tấn công MITM.

3. Các cuộc tấn công MITM

Các cuộc tấn công Machine-in-the-Middle (MITM) đặc biệt phức tạp, hiệu quả cao và hoàn toàn thảm khốc đối với một mạng.

Các cuộc tấn công này là một cách để đánh chặn dữ liệu từ máy tính của bạn trước khi nó đến máy chủ mà bạn kết nối (giả sử bằng trình duyệt web của bạn). Điều này cho phép kẻ tấn công tương tác với bạn bằng cách sử dụng các trang web giả mạo để lấy cắp thông tin của bạn. Trong một số trường hợp, kẻ tấn công là bên thứ ba chặn đường truyền giữa hai nguồn hợp pháp, điều này làm tăng hiệu quả của cuộc tấn công.

Tất nhiên, các cuộc tấn công MITM dựa trên việc giả mạo IP vì cần có sự vi phạm lòng tin mà người dùng không hề hay biết. Hơn nữa, việc thực hiện một cuộc tấn công MITM có giá trị lớn hơn so với những cuộc tấn công khác bởi vì một hacker có thể tiếp tục thu thập dữ liệu trong thời gian dài và bán nó cho người khác.

Các trường hợp tấn công MITM trong thế giới thực cho thấy cách thức hoạt động của giả mạo IP. Nếu bạn giả mạo địa chỉ IP và có quyền truy cập vào các tài khoản giao tiếp cá nhân, điều này cho phép bạn theo dõi bất kỳ khía cạnh nào của giao tiếp đó. Từ đó, bạn có thể chọn thông tin, định tuyến người dùng đến các trang web giả mạo và hơn thế nữa.

Nhìn chung, một cuộc tấn công MITM là một cách nguy hiểm và sinh lợi cao để lấy thông tin người dùng và giả mạo IP là một phần trung tâm của nó.

Tại sao giả mạo IP lại nguy hiểm cho trang web và người dùng của bạn

Vì giả mạo IP là thứ xảy ra ở cấp độ mạng thấp, nên nó là mối nguy hiểm đối với hầu hết mọi người dùng trên internet.

Lừa đảo và giả mạo song hành với nhau. Và một cuộc tấn công giả mạo tốt sẽ không thể hiện như một nỗ lực lừa đảo. Điều này có nghĩa là người dùng sẽ không có dấu hiệu cảnh giác và kết quả là có thể chuyển giao thông tin nhạy cảm.

Các yếu tố quan trọng trong kinh doanh sẽ là mục tiêu hàng đầu, chẳng hạn như hệ thống bảo mật và tường lửa. Đây là lý do tại sao bảo mật trang web là mối quan tâm số một đối với nhiều người. Bạn không chỉ cần triển khai đủ chức năng để giảm thiểu một cuộc tấn công mà còn cần đảm bảo rằng người dùng mạng của bạn cảnh giác và sử dụng các phương pháp bảo mật tốt.

Tuy nhiên, một khía cạnh của việc giả mạo IP khiến việc hạn chế nó trở nên kém đơn giản hơn: Kỹ thuật này có nhiều trường hợp sử dụng hợp pháp trên web.

Sử dụng hợp pháp để giả mạo IP

Vì giả mạo IP có rất nhiều trường hợp sử dụng không độc hại, bạn có thể làm rất ít điều để ngăn người khác sử dụng nó.

Ví dụ, hàng nghìn “tin tặc có đạo đức” tìm cách kiểm tra hệ thống của các công ty. Loại hack đạo đức này là một hành vi vi phạm hệ thống bị trừng phạt, được thiết kế để kiểm tra sức mạnh và tài nguyên bảo mật.

Quá trình này sẽ diễn ra tương tự như quá trình hack độc hại. Người dùng sẽ thực hiện công việc trinh sát mục tiêu, giành được và duy trì quyền truy cập vào hệ thống, đồng thời ngăn chặn sự xâm nhập của họ.

Bạn sẽ thường thấy rằng các tin tặc phi đạo đức chuyển đổi sang các loại có đạo đức và tìm việc làm với các công ty mà họ có thể đã coi là mục tiêu trong quá khứ. Bạn thậm chí có thể tìm thấy các kỳ thi và chứng chỉ chính thức để giúp bạn có được thông tin đăng nhập phù hợp.

Một số công ty cũng sẽ sử dụng giả mạo IP trong các bài tập mô phỏng không liên quan đến vi phạm hệ thống. Ví dụ: gửi thư hàng loạt là một trường hợp sử dụng tốt cho hàng nghìn địa chỉ IP và tất cả chúng sẽ cần được tạo thông qua giả mạo (hợp pháp).

Các bài kiểm tra đăng ký người dùng cũng sử dụng giả mạo IP để mô phỏng kết quả. Bất kỳ tình huống nào mà bạn cần mô phỏng nhiều người dùng đều là một trường hợp lý tưởng cho việc giả mạo IP có đạo đức.

Tại sao bạn không thể ngăn chặn IP giả mạo

Bởi vì việc giả mạo rất khó phát hiện và vì bản chất của phương pháp này là che giấu danh tính thực, nên bạn có thể làm rất ít để ngăn điều đó xảy ra. Tuy nhiên, bạn có thể giảm thiểu rủi ro và loại bỏ tác động.

Điều quan trọng cần lưu ý là người dùng cuối (tức là máy phía máy khách) không thể ngừng giả mạo theo bất kỳ cách nào. Nhiệm vụ của nhóm phía máy chủ là ngăn chặn việc giả mạo IP tốt nhất có thể.

Có một số cách để thêm rào cản giữa tin tặc và mục tiêu tiềm năng. Một số được đề cập cho đến nay bao gồm:

• Sử dụng giao thức an toàn hơn, chẳng hạn như IPv6
• Đảm bảo cơ sở người dùng thực hiện bảo mật cá nhân tốt khi sử dụng trang web và mạng
• Triển khai SSL và SSH trên trang web của bạn

Tuy nhiên, bạn có thể làm được nhiều hơn thế. Ví dụ: bạn có thể sử dụng tường lửa ứng dụng web chuyên dụng (WAF) chẳng hạn như Sucuri, sẽ giúp “xây tường cao” xung quanh trang web của bạn.

Bạn cũng có thể triển khai cơ sở hạ tầng quan trọng công khai (PKI) để giúp xác thực người dùng và dữ liệu liên quan. Điều này dựa vào sự kết hợp khóa riêng tư và khóa công khai để mã hóa và giải mã dữ liệu. Vì bản chất của mã hóa, việc tin tặc vi phạm sẽ khó hơn nhiều.

Giám sát mạng là một kỹ thuật cơ bản cũng có thể giúp bạn phát hiện các dấu hiệu của việc giả mạo IP hoặc các cuộc tấn công liên quan. Điều này có thể có nhiều hình thức, nhưng bạn càng hiểu rõ về hệ thống của mình, thì cơ hội phát hiện các cuộc tấn công độc hại càng lớn.

Lọc gói cũng có thể giúp chống lại các nỗ lực giả mạo IP. Bộ lọc “vào” và “ra” xem xét các tiêu đề nguồn cho các liên lạc đến và đi. Nếu điều gì đó không vượt qua bộ lọc đó, thì nó sẽ không ảnh hưởng đến người dùng trong mạng.

Cuối cùng, kiểm tra gói tin sâu (DPI) là một kỹ thuật tương tự cũng hiệu quả. Điều này, cùng với các phương pháp khác ở đây, thậm chí có thể được kết hợp để giúp xây dựng mạng hoặc máy chủ.

Bản tóm tắt

Địa chỉ IP của bạn là duy nhất đối với bạn, vì nó là địa chỉ dành cho mọi máy tính đang được sử dụng ngày nay. Địa chỉ đó giúp thực hiện nhiều tác vụ, chẳng hạn như xác thực, mã hóa và hơn thế nữa. Nói cách khác, điều này làm cho hầu hết mọi địa chỉ IP trở thành mục tiêu của tin tặc hoặc tội phạm.

Giả mạo IP đánh lừa tính hợp pháp của một địa chỉ và sử dụng địa chỉ đó để vi phạm các mạng an toàn để thu lợi thêm.

Việc sửa lỗi giả mạo IP là một việc nằm ngoài tầm kiểm soát của người dùng cuối và cũng có thể khó cho các sysadmins xử lý. Nhìn chung, bạn chỉ có thể giảm thiểu tác động của việc giả mạo IP đối với mạng của mình chứ không phải xóa toàn bộ.

Mặc dù vậy, có rất nhiều rào cản mà bạn có thể đặt ra để cản trở một người dùng có khả năng độc hại. Các phương pháp mã hóa điển hình cũng giúp ích cho chiến lược giám sát mạng và tường lửa tốt.

Bạn có phải là nạn nhân của việc giả mạo IP, và nếu có, bạn đã giải quyết tình huống này như thế nào? Chia sẻ ý kiến của bạn bằng cách bình luận xuống dưới!