Hiện nay đang xảy ra rất nhiều cuộc tấn công trên không gian mạng. Trong đó, Spoofing là những hành vi giả mạo danh tính người dùng hay các thiết bị trên nền tảng mạng Internet. Có rất nhiều hình thức giả mạo khác nhau, một trong số đó phải kể tới IP spoofing.
Khi tiếp xúc với thuật ngữ này, các câu hỏi người dùng đặt ra bao gồm:
- Giả mạo địa chỉ IP là gì?
- Cách thức hoạt động của nó ra sao?
- Làm thế nào để phát hiện cũng như ngăn chặn các cuộc tấn công này?
Hãy cùng BKHOST theo dõi bài viết dưới đây để giải đáp những thắc mắc trên.
IP spoofing là gì?
Internet Protocol (IP) spoofing (Giả mạo địa chỉ IP) là loại tấn công độc hại nhằm che dấu các gói IP nguồn để khó phát hiện chúng nằm ở đâu. Những người tấn công mạng sẽ tạo ra các gói tin và thay đổi địa chỉ IP nguồn. Từ đó mạo danh một hệ thống máy tính hoặc có thể ngụy tạo danh tính của người gửi.
Khi sử dụng địa chỉ IP spoofing cho phép tội phạm mạng thực hiện những hành vi sau:
- Thực hiện những hành động xấu mà không bị phát hiện ra họ là ai và họ không liên quan đến các vụ tấn công mạng.
- Ngăn chặn việc gửi cảnh báo trên các thiết bị mà chúng không chủ ý tham gia.
- Các địa chỉ IP được coi là nguồn lưu lượng độc hại sẽ bị loại bỏ ra các tập lệnh, thiết bị và dịch vụ bảo mật.
IP spoofing hoạt động như thế nào?
Dữ liệu truy cập Internet sẽ được chia thành nhiều đơn vị gọi là gói. Mỗi gói sẽ chứa IP header (tiêu đề) có thông tin định tuyến bao gồm địa chỉ IP nguồn và địa chỉ IP đích.
Trong IP spoofing tin tặc sẽ thay đổi địa chỉ IP nguồn trong tiêu đề gói gửi đi. Từ đó khiến máy tính đích xem gói tin đến từ một nguồn đáng tin cậy. Họ dùng các công cụ để tạo ra các tiêu đề gói tin giả bằng cách làm sai lệch và liên tục lấy ngẫu nhiên địa chỉ nguồn. Ngoài ra, cũng có thể sử dụng địa chỉ IP của thiết bị khác có sẵn để thay thế.
Để thực hiện giả mạo IP, những kẻ đánh cắp thông tin cần thực hiện một số bước như sau:
- Cần tìm một địa chỉ IP đáng tin cậy mà thiết bị nhận cho phép tham gia vào mạng.
- Có khả năng chặn gói tin và hoán đổi tiêu đề IP thực. Cần có công cụ dò tìm mạng hoặc sử dụng giao thức phân giải địa chỉ ARP để chặn các gói trên mạng và thu thập địa chỉ IP để giả mạo.
Làm sao để phát hiện ra IP spoofing?
Các cuộc tấn công này được thực hiện ở tầng mạng trong mô hình OSI. Vì thế, rất khó để nhận biết được các dấu hiệu giả mạo từ bên ngoài. Tuy nhiên, các tổ chức có thể sử dụng công cụ giám sát mạng để phân tích lưu lượng tại các điểm cuối. Lọc gói là cách tối ưu nhất để thực hiện điều này.
Hệ thống lọc gói được chứa trong các bộ định tuyến và tường lửa. Chúng phát hiện sự mâu thuẫn giữa địa chỉ IP của gói và các địa chỉ IP mong muốn có trong danh sách kiểm soát truy cập (ACL). Và chúng còn phát hiện các gói tin gian lận.
Các loại lọc gói bao gồm lọc đi vào và lọc đi:
- Lọc xâm nhập dùng để kiểm tra các gói tin đến. So sánh tiêu đề IP nguồn với địa chỉ IP nguồn. Sau đó sẽ từ chối các nội dung không trùng khớp hoặc hiển thị hành vi đáng ngờ.
- Lọc đầu ra kiểm tra các gói tin gửi đi. Nó sẽ quét các địa chỉ IP nguồn với các địa chỉ IP trong các tổ chức. Hành động này giúp ngăn chặn người trong cuộc bắt đầu cuộc tấn công IP spoofing.
Cách bảo vệ chống lại IP spoofing
Một số biện pháp bảo vệ dữ liệu và chống lại IP spoofing là:
- Sử dụng các phương pháp xác minh và xác thực mạnh cho tất cả các truy cập từ xa.
- Tạo các danh sách kiểm soát truy cập địa chỉ IP.
- Sử dụng cả hai loại lọc gói.
- Các phần mềm chống vi-rút và phần mềm bảo mật cũng là biện pháp đáng dùng.
- Ngoài ra, nên dùng các giao thức mã hóa cấp IP để bảo vệ lưu lượng truy cập đến và đi từ máy chủ doanh nghiệp.
- Luôn cập nhật phần mềm mạng, thực hiện vá những lỗ hổng nhanh chóng và thường xuyên giám sát mạng.
Cấu hình tường lửa và bộ định tuyến để từ chối các gói có thể bị giả mạo. Điều đó sẽ bao gồm các gói có địa chỉ IP riêng từ bên ngoài và lưu lượng truy cập từ bên trong. Nó sẽ ngăn chặn các cuộc tấn công giả mạo từ mạng nội bộ chống lại các mạng bên ngoài.
Một số loại network spoofing khác
Ngoài IP spoofing, còn có một số loại giả mạo liên quan đến địa chỉ IP như:
Giao thức phân giải địa chỉ (ARP)
Một cuộc tấn công giả mạo ARP xảy ra khi kẻ tấn công gửi thông điệp ARP sai qua mạng cục bộ (LAN). Nó liên kết địa chỉ kiểm soát truy cập của kẻ tấn công với địa chỉ IP của máy tính hoặc máy chủ hợp pháp trên mạng. Hành vi này được thực hiện ở tầng liên kết dữ liệu ( Data Link) trong mô hình OSI.
Hệ thống phân giải tên miền (DNS)
Trong trường hợp này, DNS sẽ ghi lại và chuyển hướng lưu lượng truy cập internet từ máy chủ hợp pháp sang các máy chủ giả mạo. Nó ánh xạ địa chỉ IP sau đó người dùng sử dụng truy cập máy chủ DNS để truy cập các trang web. Tin tặc sẽ đưa các DNS giả mạo vào máy chủ. Ngay sau khi người dùng truy cập chúng sẽ được đưa đến vị trí mà tin tặc đã xâm nhập.
Ngoài ra, các phương pháp giả mạo thông tin khác nhau nhưng không ảnh hưởng trực tiếp đến địa chỉ IP là:
Caller ID
Giả mạo ID người gọi là hành động thay đổi ID người gọi sang cuộc gọi điện thoại đến từ một vị trí khác. Nó thường xảy ra khi các nhà tiếp thị gọi bằng mã vùng của các đối tượng.
Tin tặc sẽ thay đổi trường tiêu đề của email để chỉ ra một cách sai lệch rằng thư bắt nguồn từ một người gửi khác. Đây là một phần của cuộc lừa đảo có chứa liên kết đến phiên bản trùng với trang web là bản gốc. Họ cố gắng lừa các nạn nhân chuyển giao thông tin đăng nhập hoặc một số thông tin bí mật khác.
Hệ thống xác định vị trí (GPS)
Giả mạo GPS là việc đánh lừa người dùng bằng cách thiết bị hiển thị một vị trí khác với vị trí địa lý thực. Hành vi này có thể được thực hiện bằng cách sử dụng ứng dụng của bên thứ ba cung cấp thông tin điều hướng và vị trí khác nhau.
Dịch vụ gửi tin nhắn ngắn (SMS)
Khi số điện thoại của người gửi bị thay đổi thành số khác để che khuất số điện thoại thực có nghĩa là bạn đang bị giả mạo SMS. Nó được thực hiện thông qua các liên kết đến các trang web lừa đảo hoặc tải xuống phần mềm độc hại.
URL
Với kiểu giả mạo này, những kẻ tấn công sẽ sử dụng một URL gần như giống với URL thật. Trong đó có một vài ký tự được thay đổi mà người dùng rất khó nhận ra. Mục đích chính là khiến con mồi truy cập vào một trang web giả mạo và sau đó yêu cầu họ nhập thông tin nhạy cảm.
Ví dụ về IP spoofing
Một ví dụ điển hình về cách giả mạo IP có thể kể tới đó chính là cuộc tấn công DDoS của Github diễn ra vào năm 2018. Nền tảng lưu trữ này đã bị tấn công bởi cuộc tấn công DDoS lớn nhất từ trước tới nay. Những kẻ tấn công đã lấy cắp địa chỉ IP của Github. Nó đã làm cho lưu lượng hoạt động bị giảm mạnh khiến nền tảng này ngừng hoạt động trong 10 phút.
Tổng kết về IP spoofing
Như vậy, trong bài viết này chúng tôi đã đem tới những thông tin có liên quan đến IP spoofing. Hy vọng bài viết sẽ hữu ích cho bạn trong việc tìm kiếm tài nguyên trên mạng một cách an toàn.
Nếu còn gặp bất cứ vướng mắc gì về IP spoofing, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.