Identiteitsdiefstal is altijd en overal een bedreiging, ongeacht het medium. Zogenaamde “IP spoofing” is een veelgebruikte manier voor kwaadwillende gebruikers om snel geloofwaardigheid te verkrijgen voor hun hackpogingen.
Aangezien elke computer en server een unieke identificatie kent (een “internetprotocol” – of IP – adres), is bijna iedereen die internet gebruikt op de een of andere manier kwetsbaar. IP spoofing is een manier om het uiterlijk van een bronadres (zoals een e-mailadres) te “vervalsen”. Het is dus een imitatietechniek en kan in verschillende vormen voorkomen. Het is dus zaak om altijd op je hoede te zijn.
In dit artikel zullen we het hebben over IP spoofing, wat het is, waarom je een doelwit bent en meer. We gaan ook praten over een aantal van de meest voorkomende IP spoofing-aanvallen die je zult tegenkomen en behandelen we enkele legitieme toepassingen van IP spoofing.
Wat is IP spoofing?
Over het algemeen neemt IP spoofing een deel van de gegevens over die je via internet verzendt, waardoor het lijkt alsof deze afkomstig zijn van een legitieme bron. IP spoofing is daarmee een parapluterm voor veel verschillende aanvallen:
- IP adres spoofing: Dit is een vrij simpele “verduistering” van het IPadres van de aanvaller om denial-of-service (DoS) aanvallen uit te voeren, en meer.
- Domain name server (DNS) spoofing: Dit zal het bron IP van de DNS wijzigen om een domeinnaam om te leiden naar een ander IP adres.
- Address resolution protocol (ARP) spoofing: Een poging tot ARP spoofing is een van de complexere aanvallen. Het omvat het koppelen van het Media Access Control (MAC) adres van een computer aan een legitiem IP adres met behulp van vervalste ARP berichten.
Iets technischer: bij IP spoofing neem je bepaalde gegevens en verander je hiervan op netwerkniveau kleine stukjes identificeerbare informatie. Dit maakt spoofing bijna ondetecteerbaar.
Neem bijvoorbeeld een DoS aanval.
Deze maakt gebruik van een verzameling bots die spoofed IP adressen gebruiken om gegevens naar een bepaalde site en server te verzenden en offline te halen. Hier maakt het spoofen van het IP de aanval moeilijk te detecteren totdat het te laat is, en het is ook moeilijk te traceren achteraf.
Machine-in-the-middle (MITM) aanvallen maken ook gebruik van IP spoofing omdat de MITM benadering berust op het vervalsen van vertrouwen tussen twee eindpunten. We zullen later in meer detail over beide aanvallen praten.
Hoe IP spoofing plaatsvindt
Om IP spoofing beter te begrijpen, geven we je wat context over hoe internet gegevens verzendt en gebruikt.
Elke computer gebruikt een IP adres en alle gegevens die je verzendt, worden opgedeeld in brokken (“pakketten”). Elk pakket reist op individuele basis. Zodra ze het einde van de keten hebben bereikt, worden ze weer in elkaar gezet en als één geheel gepresenteerd. Bovendien heeft elk pakket ook zijn identificeerbare informatie (een “header”) die het IPadres van zowel de bron als de bestemming zal bevatten.
In theorie zou dit ervoor moeten zorgen dat gegevens op hun bestemming aankomen zonder dat ermee geknoeid wordt. Maar dit is niet altijd het geval.
IP spoofing gebruikt de bron IP header en verandert enkele details om het te laten lijken alsof het echt is. Als zodanig kan dit zelfs de meest strikte en veilige netwerken doorbreken. Het resultaat is dat webengineers vaak nieuwe manieren proberen te vinden om informatie die over het web reist te beschermen.
IPv6 is bijvoorbeeld een nieuwer protocol waarbij codering en authenticatie is uitgebreid. Voor eindgebruikers helpen Secure Shell (SSH) en Secure Socket Layers (SSL) dergelijke aanvallen af te zwakken, maar we zullen later bespreken waarom dit het probleem nooit helemaal kan oplossen. Hoe meer encryptiestappen je implementeert, hoe beter je je computer kunt beschermen, althans in theorie.
Het is ook vermeldenswaard dat IP spoofing geen illegale praktijk is, en alleen daarom al komt het veel voor. Er zijn veel legitieme toepassingen van IP spoofing die we in een andere sectie zullen bespreken. Dat gezegd hebbende, hoewel een hacker met IP spoofing de voet tussen de deur krijgt, is het niet de enige techniek die wordt gebruikt om vertrouwen te schenden.
Waarom jouw IP een doelwit is voor spoofing
Afgezien van alle morele en ethische overwegingen: de gebruikersidentiteit van iemand op het internet heeft een enorme (financiële) waarde. Er zijn immers veel mensen met slechte bedoelingen die, als ze de kans krijgen, graag de identiteit van een ander gebruiken om iets te bemachtigen, of dit nou moreel juist is of niet.
Het spoofen van IP adressen is dan ook een favoriet tijdsverdrijf voor veel kwaadwillende gebruikers. IP spoofing zelf heeft dan wel niet veel waarde, maar de kansen die het oplevert, kunnen zomaar de jackpot betekenen.
Via IP spoofing kan een gebruiker zich bijvoorbeeld voordoen als een meer vertrouwd adres om persoonlijke informatie (en meer) van een nietsvermoedende gebruiker te verkrijgen.
Dit kan ook een domino-effect hebben op andere gebruikers. Een hacker hoeft niet het IP adres van elk doelwit te vervalsen – ze hebben er maar één nodig om een gat te slaan in de verdediging. Door deze onverdiende referenties te gebruiken, kan dezelfde hacker ook het vertrouwen van anderen in het netwerk winnen en hen ertoe brengen persoonlijke informatie te delen.
Als zodanig is het IP adres zelf dus niet heel waardevol. Afhankelijk van wat er met het vervalste IP adres wordt gedaan, kan de winst echter enorm zijn, en het potentieel voor toegang tot andere systemen via IP spoofing is dan ook niet iets om weg te wuiven.
3 meest voorkomende soorten aanvallen van IP spoofing
IP spoofing leent zich goed voor bepaalde soorten aanvallen. Laten we er hier drie bespreken.
1. Botnets maskeren
Een botnet is een netwerk van computers die een aanvaller vanuit één enkele bron bestuurt. Elk van deze computers voert een speciale bot uit, die de aanvallen uitvoert namens de hacker. Je zal zien dat de mogelijkheid om botnets te maskeren niet mogelijk zou zijn zonder IP spoofing.
In normale omstandigheden krijgen hackers controle middels het infecteren van systemen, zoals met malware. Het gebruik van botnets kan een kwaadwillende gebruiker helpen bij het uitvoeren van spamaanvallen, DDoS aanvallen, advertentiefraude, ransomware-aanvallen en nog veel meer. Het is een veelzijdige manier om gerichte aanvallen tegen andere gebruikers uit te voeren.
Een deel van de reden hiervoor is IP spoofing. Elke bot in het netwerk heeft vaak een vervalst IP adres, waardoor de hacker moeilijk te traceren is.
Het belangrijkste voordeel van het spoofen van IP’s hier is het ontwijken van strafrechtelijke vervolging. Dit is echter niet de enige.
Het gebruik van botnets met vervalste IP’s zorgt er bijvoorbeeld ook voor dat het doelwit de eigenaren van het probleem niet op de hoogte stelt. Om te beginnen kan dit de aanval langer laten duren zodat de hacker de focus naar andere delen kan “pivoteren”. In theorie zou dit ertoe kunnen leiden dat een aanval oneindig kan worden uitgevoerd om de pay-off te maximaliseren.
2. Direct Denial of Service (DDoS) aanvallen
Als een site down gaat vanwege overmatig en overweldigend kwaadaardig verkeer op de server, dan heet dit een DDoS aanval. Het kan verlammend zijn voor elke site-eigenaar, maar gelukkig zijn er veel manieren om de effecten hiervan te verminderen.
Onder DDoS aanvallen vallen verschillende gerelateerde spoofing-aanvallen en technieken, die samen de volledige aanval vormen.
DNS Spoofing
Allereerst zal een kwaadwillende gebruiker naar DNS spoofing kijken als hij een netwerk wil infiltreren. Een kwaadwillend persoon zal spoofing gebruiken om de domeinnaam die aan de DNS is gekoppeld, te wijzigen in een ander IP adres.
Vanaf hier kun je een onbeperkt aantal andere aanvallen uitvoeren, maar malware-infectie is een populaire keuze. Omdat het verkeer feitelijk zonder gedetecteerd te kunnen worden, van legitieme bronnen naar kwaadaardige bronnen wordt geleid, is het gemakkelijk om een andere computer te infecteren. Van daaruit zullen meer machines slachtoffer worden van infectie en kan een botnet gemaakt worden om een DDoS aanval efficiënt uit te voeren.
IP adres spoofing
Na DNS spoofing zal een aanvaller andere soorten IP adres-spoofing uitvoeren om de individuele bots binnen het netwerk te verbergen. Dit volgt vaak op een proces van oneindige randomisatie. Zo blijft het IP adres nooit te lang hetzelfde, waardoor het praktisch niet te detecteren en te traceren is.
Deze aanval – op netwerkniveau – is onmogelijk voor een eindgebruiker om te detecteren (en zelfs experts aan de kant van de server staan vaak met de handen in het haar). Het is een effectieve manier om kwaadwillende aanvallen uit te voeren zonder gevolgen.
ARP poisoning
ARP spoofing (of “poisoning”) is een andere manier om DDoS aanvallen uit te voeren. Het is veel complexer dan de bruteforce-methode van het maskeren van botnets en IP spoofing, maar beide zijn wel onderdeel hiervan bij het uitvoeren van een aanval.
Het idee is om een local area network (LAN) te targeten en kwaadaardige ARP datapakketten te verzenden om de ingestelde IP adressen in een MAC tabel te wijzigen. Het is een gemakkelijke manier voor een aanvaller om toegang te krijgen tot een groot aantal computers tegelijk.
Het doel van ARP poisoning is om al het netwerkverkeer via een geïnfecteerde computer te kanaliseren en het vervolgens vanaf daar te manipuleren. Dit is eenvoudig te doen via de computer van de aanvaller. Hierbij kan de hacker kiezen tussen een DDoS of een MITM aanval.
3. MITM aanvallen
Machine-in-the-Middle (MITM) aanvallen zijn bijzonder complex, zeer effectief en uiterst dodelijk voor een netwerk.
Deze aanvallen zijn een manier om de gegevens van je computer te onderscheppen voordat deze de server bereiken waarmee je verbinding maakt (bijvoorbeeld met je webbrowser). Hierdoor kan de aanvaller met jou communiceren door valse websites te gebruiken om je informatie te stelen. In sommige gevallen is de aanvaller een externe partij die de overdracht tussen twee legitieme bronnen onderschept, wat de effectiviteit van de aanval verhoogt.
Natuurlijk zijn MITM aanvallen afhankelijk van IP spoofing, omdat er een “vertrouwensbreuk” moet zijn zonder dat de gebruiker zich ervan bewust is. Bovendien heeft het uitvoeren van een MITM aanval meer waarde dan andere, omdat een hacker op langere termijn gegevens kan blijven verzamelen en aan anderen kan verkopen.
Eerdere gevallen van MITM aanvallen laten zien hoe IP spoofing een rol speelt. Als je een IP adres spooft en toegang krijgt tot persoonlijke communicatieaccounts, kun je elk aspect van die communicatie volgen. Van daaruit kun je informatie selecteren, gebruikers naar nepwebsites leiden en nog veel meer.
Over het algemeen is een MITM aanval een gevaarlijke en zeer lucratieve manier om gebruikersinformatie te verkrijgen, en IP spoofing is daar een centraal onderdeel van.
Waarom IP spoofing gevaarlijk is voor je site en gebruikers
Omdat IP spoofing iets is dat plaatsvindt op netwerkniveau, vormt het een gevaar voor bijna elke gebruiker op internet.
Phishing en spoofing gaan hand in hand. En een goede spoofingaanval zal zich niet voordoen als een phishingpoging. Dit betekent dat gebruikers geen indicatie krijgen om op hun hoede te zijn en als gevolg daarvan gevoelige informatie kunnen overhandigen.
Bedrijfskritische elementen zullen een belangrijk doelwit zijn, zoals beveiligingssystemen en firewalls. Dit is de reden waarom sitebeveiliging voor velen een prioriteit nummer één is. Je moet niet alleen voldoende functionaliteit implementeren om een aanval af te wenden, maar je moet er ook voor zorgen dat gebruikers van je netwerk waakzaam zijn en goede beveiligingspraktijken toepassen.
Eén aspect van IP spoofing maakt het echter minder eenvoudig om deze praktijk in te perken: de techniek heeft veel legitieme gebruiksscenario’s op internet.
Legitiem gebruik voor IP spoofing
Omdat IP spoofing veel niet-kwaadaardige gebruiksgevallen kent, kun je weinig doen om anderen ervan te weerhouden het te gebruiken.
Duizenden ‘ethische hackers’ proberen bijvoorbeeld systemen voor bedrijven te testen. Dit type ethisch hacken is een legale inbreuk op het systeem, ontworpen om beveiligingsbronnen en -kracht te testen.
Hierbij volgen ze hetzelfde proces als kwaadwillende hackers. De gebruiker zal verkenningswerkzaamheden op het doelwit uitvoeren, toegang tot het systeem verkrijgen en behouden, en proberen binnen de penetratie te maskeren.
Je zult vaak merken dat onethische hackers zich op een bepaald moment bekeren tot ethische hacken en werk vinden bij bedrijven die ze in het verleden als een doelwit beschouwden. Je kunt zelfs officiële examens en certificeringen behalen om je te helpen de juiste referenties te behalen.
Sommige bedrijven zullen ook IP spoofing gebruiken bij simulatieoefeningen die niets te maken hebben met systeeminbreuken. Massale mail-outs zijn bijvoorbeeld een goede use case voor duizenden IP adressen, en ze zullen allemaal moeten worden gemaakt door middel van (legitieme) spoofing.
Gebruikersregistratietests gebruiken ook IP spoofing om de resultaten te simuleren. Elke situatie waarin je veel gebruikers moet simuleren, is een ideaal geval voor ethische IP spoofing.
Waarom je IP spoofing niet kunt voorkomen
Omdat spoofing zo lastig te herkennen is en omdat het de aard van de methode is om een ware identiteit te verbergen, kun je weinig doen om te voorkomen dat dit gebeurt. Je kunt het risico echter minimaliseren en de impact tenietdoen.
Het is belangrijk op te merken dat een eindgebruiker (d.w.z. de clientside machine) op geen enkele manier het spoofen kan stoppen. Het is de taak van het serverside team om IP spoofing zo goed mogelijk te voorkomen.
Er zijn een paar manieren om barricades tussen een hacker en een potentieel doelwit toe te voegen. Enkele tot nu toe genoemde zijn:
- Een veiliger protocol gebruiken, zoals IPv6
- Ervoor zorgen dat de gebruikersbasis goede individuele beveiliging implementeert bij gebruik van de site en het netwerk
- SSL en SSH implementeren op je site
Er is echter meer dat je kunt doen. Je kunt bijvoorbeeld een speciale web application firewall (WAF) gebruiken, zoals Sucuri, die zal helpen om “hoge muren” rond je site te bouwen.
Je kunt ook public critical infrastructure (PKI) implementeren om gebruikers en bijbehorende gegevens te verifiëren. Dit is afhankelijk van een combinatie van privé en openbare sleutels om gegevens te versleutelen en te ontsleutelen. Vanwege de aard van encryptie is het veel uitdagender voor hackers om door te breken.
Netwerkmonitoring is een basistechniek die je ook kan helpen de tekenen van IP spoofing of gerelateerde aanvallen te herkennen. Dit kan vele vormen aannemen, maar hoe beter je je systeem kent, hoe groter de kans om kwaadaardige aanvallen te herkennen.
Pakketfiltering kan ook helpen bij het bestrijden van IP spoofingpogingen. “Ingress” en “egress” filtering kijkt naar de bronheaders voor inkomende en uitgaande communicatie. Als iets dit filter niet doorstaat, heeft dit geen invloed op gebruikers binnen het netwerk.
Ten slotte is deep packet inspection (DPI) een vergelijkbare techniek die net zo effectief is. Dit, samen met de andere methoden hier, kan zelfs worden gecombineerd om een netwerk of server te ondersteunen.
Samenvatting
Je IP adres is uniek voor jou, net als voor elke computer die vandaag in gebruik is. Dat adres helpt bij het uitvoeren van veel taken, zoals authenticatie, encryptie en meer. Daardoor maakt dit bijna elk IP adres een doelwit voor potentiële hackers of criminelen.
IP spoofing vervalst de legitimiteit van een adres en gebruikt het om beveiligde netwerken te doorbreken om hiervan te profiteren.
Het oplossen van IP spoofing is iets waar de eindgebruiker geen controle over heeft, en het kan zelfs lastig zijn voor systeembeheerders om ermee om te gaan. Over het algemeen kun je alleen de impact beperken die IP spoofing op je netwerk heeft, in plaats van deze in zijn geheel uit te roeien.
Toch zijn er veel barricades die je op kan werpen voor een potentieel kwaadwillende gebruiker. Typische encryptiemethoden helpen, net als een goede firewall en netwerkbewakingsstrategie.
Ben jij het slachtoffer van IP spoofing en zo ja, hoe heb je dit opgelost? Deel je mening in de comments hieronder!
hallo
Ik vermoed dat mijn ip- adres werd gespoofd.
Ik ben een leek maar ik vroeg een gegevensdownload op bij instagram en bij de inlogs (ik log steeds in met paswoord en sluit weer af. Ik doe dit meermaals per dag en enkel op wifi).
Bij mijn inlogs staat steeds het ipadres vermeld waarop ik op wifi ingelogd ben. Ik heb geen vpn.
Ik heb in 2 jaar tijd 137 ip adresssen gehad.
Soms wel 4 tot 13 verschillende ip-adressen op 1 dag.
En niet alle ip-adressen blijven achtereenvolgend qua datum . Soms 3 weken het ene adres dan 3 dagen een ander dan weer het eerste ip-adres. En dit bij meerdere ip adressen (ik heb een filter gezet per ip adres en kan zo de datums bekijken).
Plus.. niet onbelangrijk. Er zitten hele blanco periodes waarin ik zgzgd niet ingelogd heb op wifi op instagram (klopt niet want ik heb zeker aangemeld diverse keren per dag en ik nam zelfs screenshots van mijn aanmeldingen).
Plus wnnr ik bvb 13 verschillende ip-adressen op 1 dag had ben ik volgens ip api aangemeld op mijn wifi bij een bedrijf in torhout of zelfs bij een compleet andere provider vb orange ( ik ben scarlet).
Kan het zijn dat ik gespoofd ben of dat mn router als botnet werd gebruikt?
Bedankt voor uw tegenbericht
Anouska, dit kan je het beste bij jij internetprovider vragen. Hopelijk kunnen zij je een antwoord geven.