هکرها همیشه برای مخفی کردن هویت خودشان یا پیشگیری از مسدود شدن آیپی به دنبال روشهایی برای مخفی کردن آیپی هستند. یکی از روشهای مورد استفاده این افراد برای مخفی نگه داشتن آیپی جعل آن است که در این مطلب به آن آشنا میشوید.
جعل آیپی چیست؟
در حمله جعل آیپی مهاجم منبع اصلی بستههای آیپی را مخفی میکند تا سیستم مورد نظر تصور کند که این ترافیک از سمت یک منبع متفاوت ارسال شده است.
علاوه بر این از آنجایی که بسیاری از تکنیکهای امنیتی مبتنی بر آیپی هستند، این کار به بی اثر کردن آنها کمک میکند.
جعل آیپی چگونه انجام میشود؟
ترافیک اینترنت در قالب بستههای مختلف ارسال و دریافت میشود. هر بسته یک هدر دارد که شامل آیپی منبع و مقصد است.
در حمله جعل، مهاجم آدرس آیپی را پیش از ارسال بسته تغییر میدهد. پس از دریافت بسته آدرس آیپی درست و سالم به نظر میرسد اما آیپی واقعی مهاجم چیز دیگریست.
این آیپیها میتوانند به شکل تصادفی و خودکار ایجاد شوند.
به این ترتیب مهاجم میتواند وانمود کند که شخص دیگری است. مثلاً مهاجم میتواند آیپی دستگاهی که قربانی به آن اعتماد دارد را جعل کند.
کاربردهای جعل آیپی عبارتند از:
پیشگیری از احرازهویت آیپی
معمولاً از آیپی برای احرازهویت استفاده میشود.
مهاجم با در اختیارداشتن نام یک آیپی قابل اطمینان میتواند با جعل آن دیگران را فریب دهد. به این ترتیب مهاجم میتواند به هر سروری که با احرازهویت آیپی حفاظت میشود دسترسی پیدا کند.
از این تکنیک برای کاشت بدافزار، سرقت دادهها و یا راه اندازی حملات باج افزاری استفاده کرد.
حملات محروم سازی از سرویس توزیع شده
حملات محروم سازی از سرویس توزیع شده (DDOS) بر اساس این دیدگاه انجام میشوند که یک سرور فقط میتواند حجم مشخصی ترافیک را مدیریت کند. سپس مهاجم با ارسال ترافیکی بیشتر از این حجم، سرور را تحت بار شدید قرار میدهد.
تکنیکهای پیشگیری از DDOS بر اساس تشخیص آیپیهای مجاز از غیرمجاز کار میکنند که جعل آیپی از آن پیشگیری میکند.
حملات مرد میانی
در حمله مرد میانی، مهاجم ارتباط بین دو طرف را تفسیر میکند. در این حمله هر یک از طرفین تصور میکند که مستقیماً با طرف مقابل گفتگو میکند اما در واقع کل ارتباطات آنها از سیستم مهاجم عبور میکند.
در این حمله مهاجم باید سعی کند مخفی بماند. جعل آیپی به مهاجم امکان میدهد که با کپی کردن آیپی طرف مقابل به این هدف برسد و کارهایی مثل سرقت اطلاعات یا تغییر آن را انجام دهد.
آیا فقط هکرها از جعل آیپی استفاده میکنند؟
جعل آیپی بیشتر توسط هکرها استفاده میشود اما میتوان برای کاربردهای مجاز هم از آن استفاده کرد مثل اجرای آزمایش فشار روی یک سایت.
می توان از جعل آیپی برای شبیه سازی عملکرد مخاطبان واقعی سایت هم استفاده کرد. به این ترتیب توسعه دهندگان میتوانند عکس العمل سایت در برابر حجم ترافیک انبوه را محک بزنند.
چگونه میتوان از جعل آیپی پیشگیری کرد؟
تشخیص جعل آیپی همیشه هم ممکن نیست اما میتوان با این تکنیکها انجام آن را سخت تر کرد.
نظارت بر شبکه برای تشخیص فعالیتهای غیرعادی
همیشه جعل آیپی به یک دلیل انجام میشود. اگر نتوانید جعل شدن یک آیپی را تشخیص دهید باز هم ممکن است بتوانید با نظارت دقیق بر شبکه برای شناسایی علائم رفتارهای مخرب، این موضوع را تشخیص دهید.
استفاده از روشهای اعتبارسنجی جایگزین
جعل آیپی به مهاجمان امکان میدهد که مکانیزمهای احرازهویت از طریق آیپی را دور بزنند. بنابراین باید برای همه انواع دسترسیهای راه دور از روشهای اعتبارسنجی و احرازهویت جایگزین استفاده شود. یک نمونه از این تکنیکها، الزام همه ماشینهای شبکه به استفاده از احرازهویت بر اساس تبادل کلید است.
استفاده از IPv6
IPv6 جدیدترین پروتکل اینترنت است. یکی از مزایای این پروتکل نسبت به IPv4 اضافه شدن گامهای احرازهویت و رمزنگاری است. این کار باعث میشود که هدف گیری سایتهای IPv6 با جعل آیپی سخت تر شود.
استفاده از فایروال
می توان فایروال را طوری پیکربندی کرد که انواع خاصی از جعل آیپی را تشخیص داده و بستههای ورودی غیرقابل اطمینان را رد کند.
فیلتر خروجی هم بستههای خروجی از شبکه را بررسی کرده و آنهایی را که آیپی منبع آنها از داخل شبکه نباشند رد میکند تا از حملات جعل آیپی خروجی پیشگیری شود.
سایر انواع جعل مورد استفاده هکرها
به غیر از آیپی هکرها از جعل برای کارهای دیگر هم استفاده میکنند مثل جعل ایمیل، جعل ARP و جعل DNS.