کلاهبرداری آدرس IP

کلاهبرداری آدرس IPReviewed by صبا شادروز on Oct 30Rating: 5.0کلاهبرداری آدرس IP چیست؟؟ | مرکز طراحی سایت اردبیلکلاهبرداری آدرس IP عملی برای جعل مطالب موجود در عنوان IP منبع معمولاً با شماره های تصادفی است که در این مقاله به طور کامل برای شما توضیح میدهیم

تعریف کلاهبرداری

کلاهبرداری جعل هویت کاربر ، دستگاه یا مشتری در اینترنت است. این اغلب در هنگام حمله سایبری برای مبدل منبع ترافیک حمله استفاده می شود.

رایج ترین اشکال کلاهبرداری عبارتند از:

کلاهبرداری سرور DNS – یک سرور DNS را به منظور هدایت نام دامنه به یک آدرس IP دیگر تغییر می دهد. به طور معمول برای انتشار ویروس ها استفاده می شود.
کلاهبرداری ARP – آدرس MAC یک فرد متخلف را به یک آدرس IP قانونی از طریق پیام های ARP جعلی پیوند می دهد. به طور معمول در انکار سرویس (DoS) و حمله به وسط مورد استفاده قرار می گیرد.
جعل آدرس IP – مبدأ IP مبدأ مهاجم. این معمولاً در حملات DoS استفاده می شود.

کلاهبرداری آدرس IP چیست؟

کلاهبرداری آدرس IP

شبکه های رایانه ای از طریق تبادل بسته های داده شبکه ، هر یک از آنها دارای چندین هدر برای مسیریابی و اطمینان از تداوم انتقال ، ارتباط برقرار می کنند. یکی از این عنوان ها ‘آدرس IP منبع’ است که نشانگر آدرس IP فرستنده بسته است.

کلاهبرداری آدرس IP عملی برای جعل مطالب موجود در عنوان IP منبع معمولاً با شماره های تصادفی است ، یا برای پوشاندن هویت فرستنده یا انجام حمله DDoS منعکس شده ، همانطور که در زیر آورده شده است. کلاهبرداری IP یک ویژگی پیش فرض در بیشتر کیت های بدافزار DDoS و اسکریپت های حمله است ، و این باعث می شود بخشی از اکثر لایه های شبکه منکر توزیع حملات DDoS سرویس شود.

آدرس IP در حملات DDoS

کلاهبرداری آدرس IP به دو دلیل در حملات DDoS استفاده می شود: برای پوشاندن مکان های دستگاه botnet و انجام یک حمله بازتابی.

دستگاه های بات نت

بات نت دسته ای از دستگاههای آلوده به بدافزار است که از راه دور توسط عاملان و بدون اطلاع صاحبان آنها کنترل می شود. از آنها می توان راهنمایی کرد که به طور جمعی به یک دامنه یا سرور خاص دسترسی پیدا کنند و منابع محاسبات و شبکه را به عاملان ارائه دهند تا سیل های بزرگی در ترافیک ایجاد کنند. این سیلاب ها اپراتورهای بات نت ((چ.ک.ا.ا.ا.)) را قادر می سازد ظرفیت منابع هدف خود را حداکثر کنند ، در نتیجه خرابی سرورها و اشباع شبکه می شود.

بطن ها معمولاً از دستگاه های پراکنده تصادفی ، جغرافیایی یا رایانه های متعلق به همان شبکه به خطر افتاده (به عنوان مثال ، سیستم عامل میزبانی هک شده) تشکیل شده اند.

مرتکبین با استفاده از آدرس های IP فاسد برای پوشش دادن هویت واقعی دستگاه های بات نت خود ، قصد دارند:

از کشف و پیامدهای توسط محققان قانون و پزشکی قانونی در زمینه تحقیقات پزشکی خودداری کنید.
از اطلاع دادن به صاحبان دستگاه در مورد حمله ای که آنها ناخواسته در آن شرکت می کنند ، جلوگیری کنید.
دور زدن اسکریپت های امنیتی ، دستگاه ها و خدماتی که سعی در کاهش حملات DDoS از طریق لیست سیاه آدرس های IP حمله می کنند.

بازتاب DDoS

حمله DDoS منعکس شده ، از IP spoofing برای تولید درخواست های جعلی ، ظاهراً از طرف یک هدف ، برای استخراج پاسخ از طرف سرورهای واسطه محافظت شده استفاده می کند. هدف مرتکب تقویت عملکرد ترافیک آنها با ایجاد پاسخهای بزرگ از درخواستهای بسیار کوچکتر است.

روش های متداول حمله DDoS منعکس شده عبارتند از:

  • تقویت DNS – هر پرس و جو که از آدرس فاسد هدف گرفته می شود ، به تعداد زیادی از رسیورهای DNS نا امن ارسال می شود. هر درخواست ۶۰ بایت می تواند پاسخ ۴۰۰۰ بایت را بی درنگ انجام دهد و مهاجمان را قادر سازد تا میزان خروجی ترافیک را تا ۱:۷۰ افزایش دهند.
  • حمله Smurf – یک درخواست ICMP Echo از آدرس ناسزا گرفته شده از یک هدف به یک شبکه پخش متوسط ​​ارسال می شود و باعث پاسخگویی از هر دستگاه در آن شبکه می شود. میزان تقویت به تعداد دستگاههایی که درخواست از آنها پخش می شود بستگی دارد. به عنوان مثال ، شبکه ای با ۵۰ میزبان متصل به تقویت ۱:۵۰ منجر می شود.
  • تقویت NTP – یک درخواست لیست دریافت ، حاوی آدرس IP جعلی هدف ، به یک سرور نا امن NTP ارسال می شود. همانطور که در تقویت DNS ، یک درخواست کوچک پاسخ بسیار بزرگتری را ایجاد می کند و حداکثر ضریب تقویت ۱: ۲۰۰ را در اختیار شما قرار می دهد.

آدرس IP در حملات لایه برنامه

برای ایجاد اتصالات لایه برنامه ، میزبان و بازدید کننده موظفند در یک فرآیند تأیید متقابل ، معروف به یک دستی سه جانبه TCP ، شرکت کنند.

این فرایند شامل بسته های هماهنگ سازی زیر (SYN) و تصدیق (ACK) زیر است:

بازدید کننده یک بسته SYN را به میزبان می فرستد.
میزبان پاسخ می دهد با SYN-ACK.
بازدید کننده با پاسخ دادن به بسته ACK ، دریافت SYN-ACK را تأیید می کند.
کلاهبرداری IP Source مرحله سوم این فرآیند را غیرممکن می کند ، زیرا بازدید کننده را از دریافت پاسخ SYN-ACK که به آدرس IP خرابکار ارسال می شود ، ممنوع می کند.

از آنجا که تمام حملات لایه برنامه به اتصالات TCP و بستن حلقه دست زدن به ۳ طرفه متکی هستند ، فقط حملات DDoS لایه شبکه می توانند از آدرس های ناسزا استفاده کنند.

آدرس IP در تحقیقات امنیتی

در تحقیقات امنیتی ، داده های IP حاصل از حمله لایه شبکه اغلب برای شناسایی کشور مبدا منابع مهاجم استفاده می شود. با این حال ، کلاهبرداری آدرس IP ، این داده ها را غیرقابل اعتماد می کند ، زیرا آدرس IP و جغرافیایی ترافیک مخرب نقاب شده است.

هنگام خواندن گزارش های متکی به داده های IP شبکه ، لازم است از این محدودیت ها آگاه باشید. به عنوان مثال ، گزارشی از طرف ارائه دهنده کاهش که از محافظت در برابر حملات لایه برنامه محافظت نمی کند ، می تواند برای تهیه مکان های دقیق دستگاه های botnet به آنها اعتماد کند.

بیشتر بخوانید >>‌ CDN چیست؟

در نتیجه ، هر تحقیق قابل توجهی در مورد کشورهای مبدا botnet فقط می تواند براساس داده های حمله لایه کاربردی باشد.

 محافظت از DDoS

همانطور که گفته شد ، کلاهبرداری آدرس های IP معمولاً برای دور زدن اقدامات اساسی امنیتی که به لیست سیاه IP وابسته هستند ، مسدود می شود – مسدود کردن آدرس هایی که قبلاً در حمله بوده اند.

برای غلبه بر این ، راه حل های مدرن کاهش متکی بر بازرسی بسته های عمیق (DPI) است ، که از تجزیه و تحلیل دانه ای همه هدرهای بسته استفاده می کند و نه فقط آدرس IP منبع. با استفاده از DPI ، راه حل های کاهش می توانند محتوای سرصفحات مختلف بسته را بررسی کنند تا از معیارهای دیگر برای شناسایی و فیلتر کردن ترافیک مخرب پرده بردارند.

به عنوان مثال ، یک سرویس کاهش می تواند DPI را برای مشاهده یک جریان ترافیک DDoS و شناسایی هجدهای بسته هایی با تیترهای TTL های یکسان و سرتیپ های کل طول که از یک الگوی عادی مطابقت ندارند ، استفاده کند. با ردیابی چنین ناهنجاری های كوچك ، این سرویس می تواند مشخصات دانه ای از یك بسته حمله كننده را ایجاد كرده و از آن برای از بین بردن ترافیك مخرب بدون تأثیرگذاری بر گردش منظم بازدیدكننده ، استفاده كند.

نکته منفی DPI این است که روند بسیار فشرده منابع است. وقتی در مقیاس انجام می شود ، مانند حمله DDoS ، DPI احتمالاً باعث تخریب عملکرد می شود – بعضی اوقات حتی باعث می شود شبکه محافظت شده تقریباً کاملاً بی پاسخ باشد.

برای غلبه بر این ، شستشو Imperva توسط یک سخت افزار کاهش هدف (رمزگذاری شده Behemoth) انجام می شود که DPI را علیه ۱۰۰ میلیون پوند بسته در ثانیه اجرا می کند.

یک خوشه از اسکرابرهای Behemoth حمله ۴۷۰ Gbps DDoS را کاهش می دهد – یکی از بزرگترین رکورد ها.

ساخته شده از روی زمین به بالا ، هر یک از اسکراب های Behemoth قابلیت دیدن اطلاعات کلیه داده های ورودی را فراهم می کند ، بنابراین اطمینان حاصل می کند که ترافیک حمله هرگز وارد شبکه شما نمی شود. در همین حال ، ترافیک معتبر بازدید کننده شما از طریق بی نظیر جریان می یابد.

منبع 

نوشتن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *