IP Spoofing (podvržení IP adresy) je technika, při které útočník falšuje zdrojovou IP adresu v paketech, aby působil dojmem, že komunikace pochází z důvěryhodného nebo jiného systému. Tato metoda se používá k různým účelům, od obcházení bezpečnostních opatření po přípravu nebo provedení útoků.
Jak IP Spoofing funguje?
Každý datový paket v síti obsahuje hlavičku s informacemi o odesílateli a příjemci – včetně IP adresy. Při spoofingu útočník upraví hlavičku tak, aby jako zdrojová IP adresa figurovala jiná než ta jeho skutečná.
Tímto způsobem může například:
Předstírat, že je důvěryhodné zařízení.
Způsobit, že odpovědi na požadavky míří na jiný systém (ne na něj).
Obcházet IP-based autentizaci nebo firewall pravidla.
Typy a využití IP Spoofingu
1. Maskování identity
Útočník ukryje svou pravou IP adresu, aby ztížil odhalení a zpětné vysledování útoku.
2. Man-in-the-Middle (MitM) útoky
V kombinaci s dalšími technikami může útočník naslouchat nebo upravovat komunikaci mezi dvěma systémy.
3. Session Hijacking
Pokud útočník odhadne nebo zjistí číslo TCP sekvence komunikace mezi dvěma stranami, může spoofovat IP a převzít relaci (session hijack).
4. Denial of Service (DoS / DDoS)
IP Spoofing se často používá při DDoS útocích, kdy boty posílají spoofované požadavky, aby zahltily cílový systém. Spoofování ztěžuje obranu, protože nelze snadno identifikovat zdroj útoku.
5. Reflected útoky
Útočník zašle spoofovaný požadavek např. DNS nebo NTP serveru, který pak odpoví jinému systému. Tento typ útoku se používá např. v tzv. Amplification útocích.
Příklady útoků s IP Spoofingem
SYN Flood útok (DoS)
Útočník posílá velké množství TCP SYN paketů (žádosti o navázání spojení) se spoofovanými IP adresami. Server odpoví SYN-ACK, ale odpovědi se nikam nedoručí, protože IP adresy nejsou skutečné. Spojení zůstává nedokončené a server má zaplněnou frontu spojení – to vede k odmítání legitimních požadavků.
Smurf Attack
Zastaralejší typ útoku, kde útočník pošle ICMP echo požadavek (ping) na broadcast adresu s podvrženou IP adresou oběti. Všichni adresáti odpoví oběti a tím ji zahltí.
DNS Reflection Attack
Útočník pošle DNS požadavek na otevřený resolver s podvrženou IP adresou oběti. DNS server pošle odpověď oběti, která o nic nežádala. Pokud se pošle velké množství takových požadavků, dojde k přetížení cíle.
Obrana proti IP Spoofingu
1. Filtrování na routerech (Ingress / Egress Filtering)
Ingress filtering – blokuje pakety se zdrojovou IP adresou, která nepatří do očekávaného rozsahu.
Egress filtering – zamezuje odchodu paketů z vlastní sítě s falešnou IP adresou.
Organizace jako BCP38 (Best Current Practice) doporučují tyto filtry jako základní obranu.
2. Stateless firewall a ACL
Používání přístupových seznamů (Access Control Lists) na síťových zařízeních pomáhá omezit komunikaci jen na ověřené adresy a porty.
3. Deep Packet Inspection (DPI)
Pokročilé bezpečnostní systémy mohou analyzovat obsah paketů a identifikovat anomálie, které signalizují spoofing.
4. Autentizace na aplikační vrstvě
IP adresa by nikdy neměla být jediným kritériem pro ověření identity. Využití kryptografických metod (např. TLS certifikátů) zajišťuje, že i když je IP spoofovaná, nedojde k úspěšné autentizaci.
5. Network Monitoring a IDS/IPS
Systémy pro detekci narušení (např. Snort, Suricata) mohou detekovat anomální síťový provoz nebo vzory typické pro spoofingové útoky.
Omezení IP Spoofingu
TCP spojení vyžadují třícestný handshake (SYN, SYN-ACK, ACK). Pokud útočník spoofuje IP adresu, většinou se nedočká odpovědi na své SYN, protože odpověď jde jinam. To komplikuje interaktivní komunikaci (např. přístup do systémů).
IP spoofing je efektivnější u UDP nebo ICMP, které nevyžadují ověřování relace.
Závěr
IP Spoofing není sám o sobě útokem, ale technikou, která se často používá k maskování, obcházení autentizace a jako součást jiných útoků – nejčastěji DoS nebo reflektovaných útoků. Základní ochranou je implementace síťových filtrů, nepoužívání IP adres jako jediného faktoru důvěry a využívání silné autentizace na vyšších vrstvách. V moderních sítích je považován za jednu z tradičních, ale stále aktuálních metod zneužití IP protokolu.
