IP spoofing là gì? Tìm hiểu về các loại IP spoofing

Trước khi tìm hiểu IP spoofing là gì, ta cần biết được rằng: Spoofing là hành vi mạo danh một người dùng, thiết bị hoặc client trên nền tảng internet. Spoofing chủ yếu được sử dụng trong các cuộc tấn công cyber attack để ngụy trang nguồn của lưu lượng tấn công.

Hiện nay có rất nhiều phương pháp, hình thức spoofing khác nhau. Trong đó phổ biến gồm có:

• DNS server spoofing – Sửa đổi một server DNS nhằm chuyển hướng domain name đến một địa chỉ IP khác. Hình thức này thường được sử dụng để lan truyền virus.
• ARP spoofing – Liên kết địa chỉ MAC của hacker với một địa chỉ IP hợp pháp khác, thông qua các tin nhắn ARP giả mạo. Loại tấn công này thường được sử dụng trong DoS (tấn công từ chối dịch vụ) và man-in-the-middle attack.
• IP spoofing – Giả mạo địa chỉ IP gốc của kẻ tấn công. Chủ yếu được áp dụng trong tấn công DDoS.

IP spoofing là gì?

Các mạng máy tính giao tiếp với nhau thông qua việc trao đổi các gói dữ liệu mạng (network packet). Trong đó, mỗi packet chứa nhiều header dùng dể định tuyến và đảm bảo tính liên tục của kết nối. Mỗi header như vậy có chứa ‘Source IP Address’ (IP nguồn), cho biết địa chỉ của người gửi các packet.

Ngoài ra, bạn có thể tham khảo thêm về địa chỉ IP qua các bài viết sau:

Các loại IP spoofing

Vậy các loại IP spoofing là gì? IP spoofing attack có nhiều loại hình khác nhau, phụ thuộc vào những lỗ hổng bảo mật của người dùng và mục đích của những hacker. Dưới đây là một số loại tấn công phổ biến:

• Masking botnet: IP spoofing attack có thể dùng để giành quyền truy cập vào các máy tính thông qua việc masking các botnet. Trong đó, botnet là một nhóm các máy tính được kết nối vối nhau, thực hiện những tác vụ lặp đi lặp lại để giữ cho website hoạt động. Các cuộc tấn công IP spoofing sẽ mask những botnet này, rồi sử dụng kết nối của chúng để đạt được mục đích tấn công. Chẳng hạn như flooding hoặc crash các website, server, mạng bằng data. Bên cạnh đó là liên tục spam và gửi nhiều malware khác đến nạn nhân.
• Tấn công DDoS: IP spoofing là một cách thức phổ biến để triển khai tấn công DDoS. Trong đó, DDoS là một loại brute force attack, có mục đích làm chậm hoặc crash server của người dùng. Thông qua IP spoofing, các hacker có thể áp đảo các mục tiêu bằng những gói dữ liệu, từ đó làm chậm hoặc crash trang web, mạng máy tính. Đồng thời vẫn không bị lộ danh tính vì đã che giấu được địa chỉ IP nguồn.
• Man-in-the-middle (MITM) attack: Các hacker còn có thể sử dụng IP spoofing attack để thực hiện tấn công MITM – hoạt động bằng cách làm gián đoạn giao tiếp giữa hai máy tính. Việc giả mạo IP sẽ giúp các hacker thay đổi packet và gửi chúng đến máy nhận mà người gửi ban đầu không hề hay biết. Khi đó, hacker sẽ được xem như là một “man in the middle”, chặn các thông tin nhạy cảm trong quá trình giao tiếp, từ đó đánh cắp danh tính của người dùng.

IP spoofing trong tấn công lớp ứng dụng (Application layer)

Để có thể thiết lập được kết nối lớp ứng dụng, host và khách truy cập cần phải tham gia vào quá trình xác minh lẫn nhau, còn gọi là TCP three-way handshake.

Quá trình bao gồm việc trao đổi các packet SYN và ACK như sau:

1. Người truy cập gửi một SYN packet đến host.
2. Host phản hồi bằng một SYN – ACK.
3. Tiếp đến, khách truy cập xác nhận thông qua phản hồi bằng một ACK packet.

IP spoofing nguồn sẽ can thiệp vào bước thứ 3 của quá tình trên. Cụ thể, nó sẽ ngăn khách truy cập nhận lại SYN-ACK, thay vào đó sẽ gửi nó đến địa chỉ IP giả mạo.

Tất cả các cuộc tấn công vào lớp ứng dụng đều dựa vào các kết nối TCP và việc đóng vòng lặp 3-way handshake. Do đó, chỉ những cuộc tấn công DDoS ở lớp mạng mới có thể sử dụng các địa chỉ giả mạo.

IP spoofing trong việc nghiên cứu bảo mật

Vậy cách ứng dụng vào việc nghiên cứu bảo mật của IP spoofing là gì? Trong lĩnh vực này, dữ liệu IP thu được từ các cuộc tấn công ở lớp mạng thường dùng để xác định vị trí nguồn của các tài nguyên tấn công (thường là xác định quốc gia). Tuy vậy, IP spoofing giúp che giấu cả địa chỉ IP lẫn vị trí địa lý của các lưu lượng tấn công.

Vì vậy, khi tham khảo các báo cáo chỉ dựa vào dữ liệu IP mạng, ta cần nhận thức được mặt hạn chế của nó. Tóm lại, bất kỳ nghiên cứu bảo mật quan trọng nào liên quan đến “quốc tịch” của các botnet chỉ có thể được dựa trên số liệu tấn công vào lớp ứng dụng.

Cách thức IP spoofing hoạt động

Tiếp đến, hãy cùng tìm hiểu cách thức hoạt động của IP spoofing là gì. Trước hết, cần nắm rõ một số định nghĩa cơ bản sau: mọi thiết bị có khả năng kết nối internet đều có một địa chỉ IP duy nhất, đại diện cho danh tính của nó. Các dữ liệu di chuyển ở trên internet được tạo nên bởi các IP packet, trong đó mỗi packet lại chứa một IP header. IP header này chia sẻ các thông tin định tuyến về packet, chẳng hạn như địa chỉ IP nguồn và đích.

IP spoofing attack cho phép các hacker thay thế địa chỉ IP nguồn ở packet header bằng một địa chỉ IP giả mạo khác. Cụ thể, các hacker có thể thực hiện việc này bằng cách can thiệp vào một IP packet bất kỳ, rồi sửa đổi nó trước khi nó đến được địa chỉ đích. Do đó, địa chỉ IP sẽ có vẻ như là đáng tin cậy (giống IP ban đầu), tuy nhiên thực chất nó lại đến từ một bên thứ ba không xác định.

Đối với các hacker, chúng thậm chí còn có thể xuyên qua firewall của người dùng. Thông qua giả mạo địa chỉ IP, người dùng sẽ bị lừa rằng đang tương tác với một website hoặc người dùng nào đó đáng tin cậy, nhưng thực chất đang là con mồi của cybercriminal.

Dưới đây là ba ý do các hacker thường sử dụng IP spoofing attack để thực hiện tấn công:

1. Giả mạo địa chỉ IP cho phép che giấu danh tính của kẻ tấn công.
2. Những người dùng thường không biết được mình đang bị tấn công.
3. Vì các địa chỉ IP này thường giống như những nguồn đáng tin cậy, nên có thể đi qua firewall của người dùng, cũng như một số công cụ kiểm soát bảo mật khác.

Cách phòng chống IP spoofing

Với những ảnh hưởng to lớn của IP spoofing attack, mỗi người trong chúng ta cần nhận thức được cách phòng chống IP spoofing là gì. Dưới đây là một số bước để người dùng có thể bảo vệ các thiết bị, dữ liệu, mạng và các kết nối khỏi IP spoofing.

• Sử dụng các giao thức mã hóa an toàn để bảo mật các lưu lượng truy cập đến và đi khỏi server. Trong đó, hãy luôn đảm bảo “HTTPS” và biểu tượng ổ khóa luôn có trong thanh URL của các trang web mà ta truy cập.
• Cảnh giác với những email lừa đảo (phishing) từ những kẻ tấn công. Các email này thường yêu cầu người dùng thay đổi password, dữ liệu thẻ thanh toán, quyên góp quỹ từ thiện hay cập nhật một số thông tin đăng nhập nhạy cảm khác. Phishing hiện nay là một trong những công cụ mạnh để tấn công của các hacker, nhất là trong bối cảnh của đại dịch COVID-19. Chúng thường lợi dụng cập nhật những thông tin mới về dịch bệnh, quyên góp… để lừa người dùng. Do đó, hãy luôn kiểm tra xem các đường link hay trang web ở trong email có hợp pháp hay không.
• Hạn chế sử dụng WiFi công cộng, không được bảo mật. Nếu bắt buộc phải sử dụng các mạng công cộng như ở quán cafe, sân bay… hãy sử dụng VPN. Đây là công cụ giúp mã hóa các kết nối internet, nhằm bảo vệ các dữ liệu riêng tư trong quá trình gửi và nhận dữ liệu trên internet.
• Sử dụng các giải pháp phần mềm bảo mật như VPN. Ngoài ra, các phần mềm chống virus cũng giúp quét các lưu lượng truy cập đến để chống malware. Tuy nhiên, quan trọng nhất là phải cập nhật các phần mềm này thường xuyên để đảm bảo luôn có được những bản vá và các công nghệ bảo mật, xác thực mới nhất.

Những câu hỏi thường gặp về IP spoofing

IP spoofing có vi phạm pháp luật không?

Thực chất thì IP spoofing attack hoàn toàn hợp pháp nếu được sử dụng cho các mục đích không gây hại, chẳng hạn như chạy các test trên trang web của công ty. Ngược lại, nó là bất hợp pháp nếu được sử dụng để truy cập hay đánh cắp dữ liệu nhạy cảm hay những hành vi trái phép khác. Vì vậy, hãy nắm rõ IP spoofing là gì, và sử dụng nó có trách nhiệm!

Sử dụng IP spoofing có dễ dàng không?

IP spoofing attack không quá khó, nhất là khi nạn nhân đã rơi vào bẫy của những kĩ thuật như phishing.

IP spoofing có thể bị truy vết không?

IP spoofing attack diễn ra ở level mạng, nên không hề có bất kỳ dấu hiệu can thiệp từ bên ngoài nào. Chẳng hạn, xét một cuộc tấn công DDoS – các mạng máy tính bị xâm nhập hoặc mạng botnet được dùng để gửi các packet giả mạo. Vì các cuộc tấn công này được tự động hóa hoàn toàn, nên botnet có thể bao gồm hàng nghìn máy tính. Vì vậy, việc truy vết ra IP spoofing là rất khó.

Có thể khắc phục được IP spoofing không?

IP spoofing attack hoàn toàn có thể bị ngăn chặn nếu có những chiến thuật hợp lý. Như đã nói ở những phần trên, việc này bao gồm triển khai các giao thức mã hóa an toàn, sử dụng tường lửa, packet filtering. Đồng thời, luôn cẩn trọng với WiFi công cộng, phishing email và các chiêu trò lừa đảo khác.

Vietnix vừa chia sẻ khái niệm và các loại IP Spoofing phổ biến nhất hiện nay, hy vọng qua bài viết này bạn có thể biết cách phòng chống IP spoofing hiệu quả, chúc bạn thành công!