IP-förfalskning: Hur det fungerar och hur man förhindrar det

IP-förfalskning är en specifik typ av cyberangrepp där någon försöker använda en dator, en enhet eller ett nätverk för att lura andra datornätverk genom att maskera sig som en legitim enhet. Det är ett av många verktyg som hackare använder för att få tillgång till datorer för att gå igenom dem efter känsliga data, förvandla dem till zombies (datorer som tagits över för skadlig användning) eller starta DoS-attacker (Denial-of-Service). Av de olika typerna av identitetsbluffar är IP-förfalskning den vanligaste.

Vad är IP-förfalskning?

IP-förfalskning, eller IP-spoofning, refererar till att man skapar IP-paket (Internet Protocol) med en falsk IP-adress för att imitera ett annat datorsystem. IP-förfalskning gör att cyberbrottslingar kan utföra skadliga handlingar, ofta utan att bli upptäckta. Det kan innefatta att stjäla dina data, infektera din enhet med skadlig programvara eller att krascha din server.

Så fungerar IP-förfalskning

Låt oss börja med lite bakgrund: data som överförs över internet delas först upp i flera paket, och dessa paket skickas iväg oberoende av varandra och sätts ihop igen när de kommer fram. Varje paket har ett IP-huvud (Internet Protocol) som innehåller information om paketet, inklusive källans IP-adress och destinationens IP-adress.

Vid IP-förfalskning använder en hackare verktyg för att ändra källadressen i pakethuvudet för att få det mottagande datorsystemet att tro att paketet kommer från en pålitlig källa, till exempel en annan dator i ett legitimt nätverk, och acceptera det. Detta sker på nätverksnivå, så det finns inga yttre tecken på manipulering.

I system som förlitar sig på förtroenderelationer mellan nätverksanslutna datorer kan IP-förfalskning användas för att kringgå IP-adressautentisering. Ett koncept som ibland kallas för "slott och vallgrav", där de utanför nätverket anses vara hot, och de som är inuti "slottet" är betrodda. När en hackare väl gör intrång i nätverket är det lätt att utforska systemet. På grund av denna sårbarhet ersätts användningen av enkel autentisering som en försvarsstrategi i allt högre grad av mer robusta säkerhetsmetoder, som flerstegsautentisering.

Även om cyberbrottslingar ofta använder IP-förfalskning för att genomföra onlinebedrägerier och identitetsstölder eller stänga ned företagswebbplatser och servrar, kan det också ibland förekomma legitim användning. Till exempel kan organisationer använda förfalskade IP-adresser när de testar webbplatser innan de släpps ut. Detta skulle innebära att tusentals virtuella användare skapas för att testa webbplatsen för att se om webbplatsen kan hantera en stor volym av inloggningar utan att bli överväldigad. Att använda förfalskade IP-adresser på detta sätt är inte olagligt.

Typer av IP-förfalskning

De tre vanligaste formerna av IP-förfalskningsangrepp är:

DDoS-attacker (Distributed Denial of Service)

I en DDoS-attack använder hackare förfalskade IP-adresser för att överväldiga datorservrar med datapaket. Detta gör att angripare kan göra en webbplats eller ett nätverk långsammare eller få den att krascha med stora volymer internettrafik, samtidigt som de döljer sin identitet.

Maskering av botnätenheter

IP-förfalskning kan användas för att få tillgång till datorer genom att maskera botnät. Ett botnät är ett nätverk av datorer som hackare kontrollerar från en enda källa. Varje dator kör en specialiserad bot, som utför skadlig aktivitet åt angriparen. IP-förfalskning tillåter angriparen att maskera botnätet eftersom varje bot i nätverket har en förfalskad IP-adress, vilket gör det svårt att spåra den illvilliga aktören. Detta kan förlänga varaktigheten för en attack för att maximera utdelningen.

MITM-attacker (man-in-the-middle)

En annan skadlig IP-förfalskningsmetod använder en "man-in-the-middle"-attack för att avbryta kommunikationen mellan två datorer, ändra paketen och överföra dem utan att den ursprungliga avsändaren eller mottagaren märker det. Om angripare förfalskar en IP-adress och får tillgång till personliga kommunikationskonton kan de sedan spåra alla aspekter av den kommunikationen. Därifrån är det möjligt att stjäla information, dirigera användare till falska webbplatser och mycket annat. Med tiden samlar hackare in en mängd konfidentiell information som de kan använda eller sälja – vilket innebär att MITM-attacker kan vara mer lukrativa än andra typer.

Exempel på IP-förfalskning

Ett av de oftast nämnda exemplen på en IP-förfalskningsattack är GitHubs DDoS-attack 2018. GitHub är en kodvärdplattform, och i februari 2018 drabbades den av vad som troddes vara den största DDoS-attacken någonsin. Angripare förfalskade GitHubs IP-adress i en koordinerad attack så stor att den stängde tjänsten i nästan 20 minuter. GitHub återtog kontrollen genom att dirigera om trafik genom en mellanliggande partner och rensa data för att blockera skadliga parter.

Ett tidigare exempel ägde rum 2015 när Europol slog till mot en kontinentomfattande MITM-attack. Attacken involverade hackare som avlyssnade betalningsförfrågningar mellan företag och deras kunder. Brottslingarna använde IP-förfalskning för att lura till sig tillgång till organisationers e-postkonton. De tjuvlyssnade sedan på kommunikation och snappade upp förfrågningar om betalningar från kunder – så att de kunde lura dessa kunder att skicka betalningar till bankkonton som de kontrollerade.

IP-förfalskning är inte den enda formen av förfalskade nätverksadresser – det finns andra typer, inklusive e-postförfalskning, webbplatsförfalskning, ARP-förfalskning, SMS-förfalskning och mycket annat. Du kan läsa Kasperskys kompletta guide till olika typer av adressförfalskning här.

Hur man upptäcker IP-förfalskning

Det är svårt för slutanvändare att upptäcka IP-förfalskning, och det är det som gör det så farligt. Detta beror på att IP-förfalskningsattacker utförs på nätverkslagren – dvs. lager 3 i kommunikationsmodellen Open System Interconnection. Detta lämnar inga yttre tecken på manipulering – ofta kan förfalskade anslutningsförfrågningar verka legitima utifrån.

Organisationer kan dock använda nätverksövervakningsverktyg för att analysera trafik vid slutpunkter. Paketfiltrering är det vanligaste sättet att göra detta. Paketfiltreringssystem – som ofta finns i routrar och brandväggar – upptäcker inkonsekvenser mellan paketets IP-adress och önskade IP-adresser som anges i åtkomstkontrollistor (ACL). De upptäcker också bedrägliga paket.

De två huvudtyperna av paketfiltrering är ingångsfiltrering och utgående filtrering:

• Ingångsfiltrering tittar på inkommande paket för att bedöma om käll-IP-huvudet matchar en tillåten källadress. Alla paket som ser misstänkta ut kommer att avvisas.
• Utgående filtrering tittar på utgående paket för att leta efter käll-IP-adresser som inte matchar adresserna i organisationens nätverk. Detta är utformat för att förhindra den egna personalen från att starta IP-förfalskningsattacker.

Så här skyddar du dig mot IP-förfalskning

IP-förfalskningsattacker är utformade för att dölja angriparnas sanna identitet, vilket gör dem svåra att upptäcka. Vissa åtgärder mot adressförfalskning kan dock vidtas för att minimera risken. Slutanvändare kan inte förhindra IP-förfalskning eftersom det är serverteamets uppgift att förhindra IP-förfalskning så gott de kan.

IP-förfalskningsskydd för IT-specialister:

De flesta av de strategierna som används för att undvika IP-förfalskning måste utvecklas och implementeras av IT-specialister. Alternativen för att skydda mot IP-förfalskning är bland annat:

• Övervakning av nätverk för onormal aktivitet.
• Implementera paketfiltrering för att upptäcka inkonsekvenser (som utgående paket med käll-IP-adresser som inte matchar de i organisationens nätverk).
• Använda robusta verifieringsmetoder (även bland nätverksanslutna datorer).
• Autentisera alla IP-adresser och använda en nätverksangreppsblockerare.
• Placera åtminstone en del av datorresurserna bakom en brandvägg. En brandvägg hjälper till att skydda nätverket genom att filtrera trafik med falska IP-adresser, verifiera trafik och blockera åtkomst för obehöriga utomstående.

Webbdesigners bör migrera webbplatser till IPv6, det senaste internetprotokollet. Det gör IP-förfalskning svårare genom att använda kryptering och autentiseringssteg. En hög andel av världens internettrafik använder fortfarande det tidigare protokollet, IPv4.

IP-förfalskningsskydd för slutanvändare:

Slutanvändare kan inte förhindra IP-förfalskning. Med detta sagt hjälper grundläggande cyberhygien till att maximera din säkerhet online. Förnuftiga försiktighetsåtgärder är bland annat:

Se till att ditt hemnätverk är säkert konfigurerat

Detta innebär att du ändrar standardanvändarnamn och lösenord på din hemrouter och alla anslutna enheter och ser till att du använder starka lösenord. Ett starkt lösenord undviker det uppenbara och innehåller minst 12 tecken och en blandning av stora och små bokstäver, siffror och symboler. Du kan läsa Kasperskys fullständiga guide för att konfigurera ett säkert hemnätverk här.

Var försiktig när du använder offentliga Wi-Fi-nätverk

Undvik att utföra transaktioner som shopping eller banktjänster på osäkrat offentligt Wi-Fi. Om du behöver använda offentliga hotspots, ska du maximera din säkerhet genom att använda ett virtuellt privat nätverk eller VPN. Ett VPN krypterar din internetanslutning för att skydda de privata data du skickar och tar emot.

Se till att webbplatserna du besöker använder HTTPS

Vissa webbplatser krypterar inte data. Om de inte har ett uppdaterat SSL-certifikat är de mer sårbara för attacker. Webbplatser vars URL-adress börjar med HTTP istället för HTTPS är inte säkra – vilket är en risk för kunder som delar känslig information med den webbplatsen. Se till att du använder HTTPS-webbplatser och leta efter hänglåsikonen i URL-adressfältet.

Var vaksam när det kommer till nätfiskeförsök

Var försiktig med nätfiske-e-postmeddelanden från angripare som ber dig uppdatera ditt lösenord eller andra inloggningsuppgifter eller betalkortsdata. Nätfiske-e-postmeddelanden är utformade för att se ut som om de kommer från välrenommerade organisationer, men i verkligheten har de skickats av bedragare. Undvik att klicka på länkar eller öppna bilagor i nätfiske-e-postmeddelanden.

Använd ett heltäckande antivirusprogram

Det bästa sättet att vara säker online är att använda ett högkvalitativt antivirusprogram för att skydda dig mot hackare, virus, skadlig programvara och de senaste onlinehoten. Det är också viktigt att hålla din programvara uppdaterad för att säkerställa att den har de senaste säkerhetsfunktionerna.

Rekommenderade produkter

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Läs mer

• Så här skyddar och döljer du din IP-adress
• Vad är DNS-förfalskning och hur man förhindrar det
• Vad är förfalskning av telefonnummer
• Vad är dataintegritet?