Trước khi tìm hiểu IP spoofing là gì, ta cần biết được rằng: Spoofing là hành vi mạo danh một người dùng, thiết bị hoặc client trên nền tảng internet. Spoofing chủ yếu được sử dụng trong các cuộc tấn công cyber attack để ngụy trang nguồn của lưu lượng tấn công.

Hiện nay có rất nhiều phương pháp, hình thức spoofing khác nhau. Trong đó phổ biến gồm có:

• DNS server spoofing – Sửa đổi một server DNS nhằm chuyển hướng domain name đến một địa chỉ IP khác. Hình thức này thường được sử dụng để lan truyền virus.
• ARP spoofing – Liên kết địa chỉ MAC của hacker với một địa chỉ IP hợp pháp khác, thông qua các tin nhắn ARP giả mạo. Loại tấn công này thường được sử dụng trong DoS (tấn công từ chối dịch vụ) và man-in-the-middle attack.
• IP spoofing – Giả mạo địa chỉ IP gốc của kẻ tấn công. Chủ yếu được áp dụng trong tấn công DDoS.
  

IP spoofing là gì?

Các mạng máy tính giao tiếp với nhau thông qua việc trao đổi các gói dữ liệu mạng (network packet). Trong đó, mỗi packet chứa nhiều header dùng dể định tuyến và đảm bảo tính liên tục của kết nối. Mỗi header như vậy có chứa ‘Source IP Address’ (IP nguồn), cho biết địa chỉ của người gửi các packet.

>>> Xem thêm: may server lenovo sr850

Các loại IP spoofing

Vậy các loại IP spoofing là gì? IP spoofing attack có nhiều loại hình khác nhau, phụ thuộc vào những lỗ hổng bảo mật của người dùng và mục đích của những hacker. Dưới đây là một số loại tấn công phổ biến:

• Masking botnet: IP spoofing attack có thể dùng để giành quyền truy cập vào các máy tính thông qua việc masking các botnet. Trong đó, botnet là một nhóm các máy tính được kết nối vối nhau, thực hiện những tác vụ lặp đi lặp lại để giữ cho website hoạt động. Các cuộc tấn công IP spoofing sẽ mask những botnet này, rồi sử dụng kết nối của chúng để đạt được mục đích tấn công. Chẳng hạn như flooding hoặc crash các website, server, mạng bằng data. Bên cạnh đó là liên tục spam và gửi nhiều malware khác đến nạn nhân.
• Tấn công DDoS: IP spoofing là một cách thức phổ biến để triển khai tấn công DDoS. Trong đó, DDoS là một loại brute force attack, có mục đích làm chậm hoặc crash server của người dùng. Thông qua IP spoofing, các hacker có thể áp đảo các mục tiêu bằng những gói dữ liệu, từ đó làm chậm hoặc crash trang web, mạng máy tính. Đồng thời vẫn không bị lộ danh tính vì đã che giấu được địa chỉ IP nguồn.
• Man-in-the-middle (MITM) attack: Các hacker còn có thể sử dụng IP spoofing attack để thực hiện tấn công MITM – hoạt động bằng cách làm gián đoạn giao tiếp giữa hai máy tính. Việc giả mạo IP sẽ giúp các hacker thay đổi packet và gửi chúng đến máy nhận mà người gửi ban đầu không hề hay biết. Khi đó, hacker sẽ được xem như là một “man in the middle”, chặn các thông tin nhạy cảm trong quá trình giao tiếp, từ đó đánh cắp danh tính của người dùng.
  

IP spoofing trong tấn công lớp ứng dụng (Application layer)

Để có thể thiết lập được kết nối lớp ứng dụng, host và khách truy cập cần phải tham gia vào quá trình xác minh lẫn nhau, còn gọi là TCP three-way handshake.

Quá trình bao gồm việc trao đổi các packet SYN và ACK như sau:

• Người truy cập gửi một SYN packet đến host.
• Host phản hồi bằng một SYN – ACK.
• Tiếp đến, khách truy cập xác nhận thông qua phản hồi bằng một ACK packet.
  

IP spoofing nguồn sẽ can thiệp vào bước thứ 3 của quá tình trên. Cụ thể, nó sẽ ngăn khách truy cập nhận lại SYN-ACK, thay vào đó sẽ gửi nó đến địa chỉ IP giả mạo.

Tất cả các cuộc tấn công vào lớp ứng dụng đều dựa vào các kết nối TCP và việc đóng vòng lặp 3-way handshake. Do đó, chỉ những cuộc tấn công DDoS ở lớp mạng mới có thể sử dụng các địa chỉ giả mạo.

>>> Xem thêm: sr650 máy chủ

IP spoofing trong việc nghiên cứu bảo mật

Vậy cách ứng dụng vào việc nghiên cứu bảo mật của IP spoofing là gì? Trong lĩnh vực này, dữ liệu IP thu được từ các cuộc tấn công ở lớp mạng thường dùng để xác định vị trí nguồn của các tài nguyên tấn công (thường là xác định quốc gia). Tuy vậy, IP spoofing giúp che giấu cả địa chỉ IP lẫn vị trí địa lý của các lưu lượng tấn công.

Vì vậy, khi tham khảo các báo cáo chỉ dựa vào dữ liệu IP mạng, ta cần nhận thức được mặt hạn chế của nó. Tóm lại, bất kỳ nghiên cứu bảo mật quan trọng nào liên quan đến “quốc tịch” của các botnet chỉ có thể được dựa trên số liệu tấn công vào lớp ứng dụng.

Cách thức IP spoofing hoạt động

Tiếp đến, hãy cùng tìm hiểu cách thức hoạt động của IP spoofing là gì. Trước hết, cần nắm rõ một số định nghĩa cơ bản sau: mọi thiết bị có khả năng kết nối internet đều có một địa chỉ IP duy nhất, đại diện cho danh tính của nó. Các dữ liệu di chuyển ở trên internet được tạo nên bởi các IP packet, trong đó mỗi packet lại chứa một IP header. IP header này chia sẻ các thông tin định tuyến về packet, chẳng hạn như địa chỉ IP nguồn và đích.

IP spoofing attack cho phép các hacker thay thế địa chỉ IP nguồn ở packet header bằng một địa chỉ IP giả mạo khác. Cụ thể, các hacker có thể thực hiện việc này bằng cách can thiệp vào một IP packet bất kỳ, rồi sửa đổi nó trước khi nó đến được địa chỉ đích. Do đó, địa chỉ IP sẽ có vẻ như là đáng tin cậy (giống IP ban đầu), tuy nhiên thực chất nó lại đến từ một bên thứ ba không xác định.

Đối với các hacker, chúng thậm chí còn có thể xuyên qua firewall của người dùng. Thông qua giả mạo địa chỉ IP, người dùng sẽ bị lừa rằng đang tương tác với một website hoặc người dùng nào đó đáng tin cậy, nhưng thực chất đang là con mồi của cybercriminal.

>>> Xem thêm: mua máy chủ lenovo sr550