IP-forfalskning: Slik fungerer det og slik forhindrer du det

Forfalskning er en spesifikk type nettangrep der noen forsøker å bruke en datamaskin, enhet eller et nettverk til å lure andre datanettverk ved å fremstå som en legitim enhet. Det er ett av mange verktøy som hackere bruker for å få tilgang til datamaskiner og de sensitive opplysningene på dem, gjøre dem om til zombier (datamaskiner overtatt for skadelig bruk), eller starte Denial-of-Service-angrep (DoS). IP-forfalskning er den vanligste typen forfalskning.

Hva er IP-forfalskning?

IP-forfalskning, eller IP-adresseforfalskning, refererer til opprettelsen av Internet Protocol-pakker med en falsk kilde-IP-adresse for å etterligne et annet datasystem. IP-forfalskning lar nettkriminelle utføre skadelige handlinger, ofte uten å bli oppdaget. Dette kan omfatte å stjele dataene dine, infisere enheten din med skadelig programvare eller krasje serveren din.

Slik fungerer IP-forfalskning

La oss starte med litt bakgrunnsinformasjon: Data som overføres over Internett brytes først opp i flere pakker, og disse pakkene sendes uavhengig av hverandre og settes sammen til slutt. Hver pakke har en IP-header (Internet Protocol) som inneholder informasjon om pakken, inkludert kilde-IP-adressen og mål-IP-adressen.

Ved IP-forfalskning bruker en hacker verktøy for å endre kildeadressen i pakke-headeren for å få mottakerdatasystemet til å tro at pakken er fra en pålitelig kilde, for eksempel en annen datamaskin på et legitimt nettverk, og godta den. Dette skjer på nettverksnivå, så det er ingen ytre tegn på tukling.

I systemer som er avhengige av tillitsforhold mellom datamaskiner i nettverk, kan IP-forfalskning brukes til å omgå IP-adresseautentisering. Et konsept som noen ganger refereres til som «slott og vollgrav»-forsvaret, hvor de utenfor nettverket anses som trusler, og de som er inne i «slottet» er klarert. Når en hacker klarer å bryte seg inn i nettverket, er det enkelt å utforske systemet. På grunn av denne sårbarheten blir bruk av enkel autentisering som forsvarsstrategi i økende grad erstattet av mer robuste sikkerhetstilnærminger, for eksempel de med flertrinnsautentisering.

Selv om nettkriminelle ofte bruker IP-forfalskning til å utføre svindel og identitetstyveri på nettet eller stenge bedrifters webområder og servere, kan det også noen ganger brukes legitimt. For eksempel kan organisasjoner bruke IP-forfalskning når de tester webområder før de publiseres. Dette innebærer å opprette tusenvis av virtuelle brukere for å teste webområdet for å se om det kan håndtere et stort volum pålogginger uten å bli overveldet. IP-forfalskning er ikke ulovlig når det brukes på denne måten.

Former for IP-forfalskning

Følgende tre former for IP-forfalskning er de mest vanlige:

Distributed Denial of Service-angrep (DDoS)

I et DDoS-angrep bruker hackere falske IP-adresser for å overvelde dataservere med datapakker. Dette lar dem bremse eller krasje et nettsted eller nettverk med store mengder Internett-trafikk mens de skjuler identiteten sin.

Maskering av botnet-enheter

IP-forfalskning kan brukes til å få tilgang til datamaskiner ved å maskere botnet. Et botnet er et nettverk av datamaskiner som hackere kontrollerer fra én enkelt kilde. Hver datamaskin kjører en dedikert bot, som utfører skadelig aktivitet på angriperens vegne. IP-forfalskning lar angriperen maskere botnettet fordi hver bot i nettverket har en falsk IP-adresse, noe som gjør den ondsinnede aktøren utfordrende å spore. Dette kan forlenge varigheten av et angrep for å maksimere gevinsten.

Mann-i-midten-angrep

En annen skadelig IP-forfalskningsmetode bruker et «mann-i-midten»-angrep for å avbryte kommunikasjonen mellom to datamaskiner, endre pakkene og overføre dem uten at den opprinnelige avsenderen eller mottakeren vet det. Hvis angripere forfalsker en IP-adresse og får tilgang til personlige kommunikasjonskontoer, kan de spore alle aspekter av kommunikasjonen. Derfra er det mulig å stjele informasjon, lede brukere til falske webområder og mer. Over tid samler hackere inn et vell av konfidensiell informasjon de kan bruke eller selge – noe som betyr at mann-midten-angrep kan være mer lukrative enn de andre.

Eksempler på IP-forfalskning

Et av de hyppigst siterte eksemplene på et IP-forfalskningsangrep er GitHubs DDoS-angrep i 2018 . GitHub er en kodevertsplattform, og i februar 2018 ble den rammet av det som ble antatt å være det største DDoS-angrepet noensinne. Angripere forfalsket GitHubs IP-adresse i et koordinert angrep så stort at det stengte tjenesten i nesten 20 minutter. GitHub gjenvant kontrollen ved å omdirigere trafikk gjennom en mellompartner og fjerne data for å blokkere skadelige parter.

Et tidligere eksempel fant sted i 2015 da Europol slo ned på et kontinentsomfattende mann-i-midten-angrep. Angrepet innebar at hackere fanget opp betalingsforespørsler mellom bedrifter og deres kunder. De kriminelle brukte IP-forfalskning til å få uredelig tilgang til organisasjoners e-postkontoer. Deretter snoket de i kommunikasjon og snappet opp forespørsler om betalinger fra kunder slik at de kunne lure disse kundene til å sende betalinger til bankkontoer de kontrollerte.

IP-forfalskning er ikke den eneste formen for nettverksforfalskning – det finnes andre typer, inkludert e-postforfalskning, nettstedsforfalskning, ARP-forfalskning, meldingsforfalskning med mer. Du kan lese Kasperskys komplette guide til ulike typer forfalskning her.

Slik oppdager du IP-forfalskning

Det er vanskelig for sluttbrukere å oppdage IP-forfalskning. Det er det som gjør det så farlig. Dette er fordi IP-forfalskningangrep utføres på nettverkslagene – dvs. lag 3 i kommunikasjonsmodellen Open System Interconnection. Dette etterlater ikke eksterne tegn på tukling – ofte kan forfalskede tilkoblingsforespørsler virke legitime fra utsiden.

Organisasjoner kan imidlertid bruke verktøy for nettverksovervåkning for å analysere trafikk ved endepunkter. Pakkefiltrering er den vanligste måten å gjøre dette på. Pakkefiltreringssystemer – som ofte finnes i rutere og brannmurer – oppdager inkonsistens mellom pakkens IP-adresse og ønskede IP-adresser som er beskrevet på tilgangskontrollister (ACL-er). De oppdager også falske pakker.

De to hovedtypene av pakkefiltrering er inngangsfiltrering og utgangsfiltrering:

• Inngangsfiltrering ser på innkommende pakker for å vurdere om kildens IP-header samsvarer med en tillatt kildeadresse. Pakker som ser mistenkelige ut vil bli avvist.
• Utgangsfiltrering ser på utgående pakker for å se etter kilde-IP-adresser som ikke samsvarer med de på organisasjonens nettverk. Dette er utviklet for å hindre at insidere starter IP-forfalskningsangrep.

Slik beskytter du deg mot IP-forfalskning

IP-forfalskningsangrep er utviklet for å skjule angripernes virkelige identitet, noe som gjør dem vanskelige å få øye på. Noen anti-forfalskningstrinn kan imidlertid tas for å minimere risikoen. Sluttbrukere kan ikke forhindre IP-forfalskning. Det er opp til team på serversiden å forhindre IP-forfalskning så godt de kan.

IP-forfalskningsbeskyttelse for IT-spesialister:

De fleste strategiene som brukes for å unngå IP-forfalskning må utvikles og distribueres av IT-spesialister. Alternativene for beskyttelse mot IP-forfalskning omfatter følgende:

• Overvåking av nettverk for uvanlig aktivitet.
• Implementering av pakkefiltrering for å oppdage uregelmessigheter (for eksempel utgående pakker med kilde-IP-adresser som ikke samsvarer med de på organisasjonens nettverk).
• Bruk av robuste verifiseringsmetoder (selv blant nettverkstilkoblede datamaskiner).
• Godkjenne alle IP-adresser og bruke en nettverksangrepsblokkering.
• Plassering av minst en del av dataressursene bak en brannmur. En brannmur vil bidra til å beskytte nettverket ditt ved å filtrere trafikk med falske IP-adresser, godkjenne trafikk og blokkere tilgang for utenforstående uten godkjenning.

Webdesignere oppfordres til å migrere webområder til IPv6, den nyeste Internett-protokollen. Det gjør IP-forfalskning vanskeligere ved å inkludere kryptering og godkjenningstrinn. En høy andel av verdens Internett-trafikk bruker fortsatt den tidligere protokollen, IPv4.

IP-forfalskning for sluttbrukere:

Sluttbrukere kan ikke forhindre IP-forfalskning. Når det er sagt, vil det å praktisere grunnleggende cyberhygiene bidra til å maksimere nettsikkerheten din. Fornuftige forholdsregler omfatter følgende:

Sørg for at hjemmenettverket er konfigurert på en sikker måte

Dette innebærer å endre standard brukernavn og passord på hjemmeruteren og alle tilkoblede enheter, og sikre at du bruker sterke passord. Et sterkt passord unngår det åpenbare og inneholder minst 12 tegn og en blanding av store og små bokstaver, tall og symboler. Du kan lese Kasperskys komplette veiledning for å konfigurere et sikkert hjemmenettverk her.

Vær forsiktig når du bruker offentlige wifi-nettverk

Unngå å utføre transaksjoner som netthandel eller banktjenester på usikrede offentlige wifi-nettverk. Hvis du trenger å bruke offentlige hotspots, bør du maksimere sikkerheten din ved å bruke et virtuelt privat nettverk (VPN). Et VPN krypterer Internett-forbindelsen din for å beskytte de private dataene du sender og mottar.

Sørg for at webområdene du besøker er HTTPS

Noen webområder krypterer ikke data. Hvis de ikke har et oppdatert SSL-sertifikat, er de mer sårbare for angrep. Webområder med URL-adresser som starter med HTTP i stedet for HTTPS er ikke sikre. Dette innebærer risiko for brukere som deler kredittkortdetaljer og annen sensitiv informasjon med webområdet. Sørg for at du bruker HTTPS-webområder og ser etter hengelåsikonet i URL-adresselinjen.

Vær på vakt når det kommer til nettfiskingsforsøk

Vær på vakt for nettfiskingsmeldinger på e-post fra angripere som ber deg om å oppdatere passordet ditt eller andre påloggings- eller betalingskortopplysninger. Nettfiskingsmeldinger på e-post er utviklet for å se ut som om de kommer fra anerkjente organisasjoner, men i virkeligheten er de sendt av svindlere. Unngå å klikke på koblinger eller åpne vedlegg i nettfiskingsmeldinger på e-post.

Bruk et omfattende antivirusprogram

Den beste måten å holde deg trygg på nettet er å bruke et antivirusprogram av høy kvalitet for å beskytte deg mot hackere, virus, skadelig programvare og de nyeste truslene på nettet. Det er også viktig å holde programvare oppdatert for å sikre at den har de nyeste sikkerhetsfunksjonene.

Anbefalte produkter

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Flere artikler

• Slik skjuler du IP-adressen din
• Hva er DNS-forfalsking, og hvordan forhindrer du det
• Hva er forfalskning av telefonnummer
• Hva er datapersonvern?