IP-spoofing:
zo gemakkelijk manipuleren hackers datapakketten

IP-spoofing

IP-spoofing in de geschiedenis

Of je nu alsprivépersoon op internet surft of verantwoordelijk bent voor een lokaal netwerk: de bescherming tegen toegang door onbevoegden en systeem-beschadigende aanvallen speelt altijd een belangrijke rol. Al decennia lang verschaffen criminelen zich op verschillende manieren toegang tot computersystemen van derden en richten daarbij schade van uiteenlopende omvang aan. Als de indringers weten wat ze doen, merk je meestal niets van de aanval zelf. Daarnaast weten cybercriminelen ook hoe ze hun sporen kunnen uitwissen, waardoor het met normale middelen vrijwel onmogelijk is achteraf de oorsprong van de aanval te achterhalen. Een van de populairste technieken onder cybercriminelen is het zogenaamde spoofing (manipulatie;versluiering), dat in zijn oorspronkelijke vorm – die van de IP-spoofing – al in de jaren 80 onderwerp van geswas onder deskundigen.


Wat is IP-spoofing

Wat is IP-spoofing?

Het zogenaamde IP-spoofing is een procedure waarbij TCP/IP- of UDP/IP-datapakketten met een vals afzenderadres worden verzonden. Daarbij maakt de hacker gebruik van het adres van een geautoriseerd, vertrouwd systeem. Op die manier kan hij eigen pakketten in het externe computersysteem smokkelen, die anders door een filtersysteem geblokkeerd zouden worden. In de meeste gevallen dient IP-spoofing voor het uitvoeren van DoS- en DDoS-aanvallen. Onder bepaalde omstandigheden kan de hacker met het gestolen IP ook het dataverkeer tussen twee of meer computersystemen onderscheppen of manipuleren. Zulke man-in-the-middle-aanvallen met behulp van IP-spoofing vereisen tegenwoordig echter dat de aanvaller zich in hetzelfde subnet als het slachtoffer bevindt (met enkele uitzonderingen)


IP vervalsen

IP vervalsen: waarom spoofing werkt

De mogelijkheid om misbruik van het IP-adres te maken bestaat doordat bron- en doeladres, die in de header van elk IP-pakket staan, niet voldoende beschermd zijn tegen manipulatie. Er bestaan geen mechanismen om deze gegevens te versleutelen en ook geen om te controleren of ze correct zijn. De hacker verkrijgt met een eenvoudige IP-spoofing-aanval geen toegang tot het dataverkeer. Hij verandert namelijk alleen het adres in het desbetreffende pakket, terwijl het daadwerkelijke IP-adres onveranderd blijft. Zo komt het antwoord op de verzonden gegevens ook niet bij hem terecht, maar bij de computer waarvan hij het adres heeft aangegeven.

Dat er een onbekende, niet-geautoriseerde deelnemer achter het IP-pakket zit, blijft voor het antwoordende systeem verborgen. Daardoor is IP-spoofing bruikbaar voor de reeds genoemde DoS- en DDoS-aanvallen. Vooral de volgende twee scenario’s zijn denkbaar:

  1. Op basis van het gestolen bronadres verstuurt de hacker een groot aantal datapakketten naar verschillende systemen binnen het desbetreffende netwerk. Deze beantwoorden de contactaanvraag doordat ze eveneens een datapakket verzenden – en wel aan de eigenlijk niet betrokken computer waarvan het IP-adres is gestolen.
  2. De uitgekozen doelcomputer ontvangt tegelijkertijd datapakketten van diverse valse IP-adressen en raakt daardoor overbelast.

De computers waarvan IP-adressen door de hacker worden gestolen, kunnen dus het doel van de DDoS-aanval zijn of samen als gereedschap voor zo’n aanval fungeren. In beide gevallen blijft de hacker onbekend, omdat de verzonden pakketten officieel afkomstig lijken van de computer waarvan de IP’s zijn overgenomen.


drievoudige handshake

Hoe hackers ook de drievoudige handshake te slim af zijn

Een hacker kan de bewust veroorzaakte overbelasting in principe vanaf elke willekeurige locatie tot stand brengen, mits de doelcomputer met het internet verbonden is. Een directe toegang tot het dataverkeer, daarentegen, is inmiddels veel lastiger als de computer van de indringer zich niet in hetzelfde subnet bevindt. Dit heeft te maken met het feit dat een datapakket alleen kan worden onderschept met behulp van het volgnummer van het pakket. Dit is tegenwoordig, in tegenstelling tot vroeger, vrijwel onmogelijk.

Vroeger genereerden besturingssystemen en netwerkapparaten deze volgnummers, die in de TCP-header zijn opgenomen, nog volgens een gelijkblijvend patroon. Hackers konden zo bij wijze van een test meerdere pakketten aan het doelsysteem sturen en dankzij de ontvangstbevestigingen het eerstvolgende volgnummer voorspellen. Het pakket achter het volgnummer konden ze nu lezen of manipuleren en vervolgens met een vervalst afzender-IP doorsturen, zonder dat het door de twee communicerende systemen werd opgemerkt. Omdat veel systemen gebruikmaakten van inlogprocedures op hostbasis, die logingegevens als gebruikersnamen en wachtwoorden onversleuteld overdroegen, konden hackers met een beetje geluk zelfs een verbinding tot stand brengen. Omdat huidige systemen de volgnummers toevallig genereren, zijn deze zogenaamde TCP sequence prediction attacks (ook blind spoofing genoemd) in principe onwerkzaam geworden. Oudere apparaten lopen wel nog steeds risico.

Als de IP-spoofer zich in hetzelfde subnet als het aangevallen systeem bevindt – dus bijvoorbeeld in een lokaal netwerk – komt hij veel gemakkelijker aan de volgnummers en de bijbehorende IP-pakketten. In plaats van deze pakketten met moeite te achterhalen, kan hij het volledige dataverkeer filteren, analyseren en de gewenste datapakketten eruit pikken. Daarom spreekt men in dat geval ook van non-blind spoofing.


misbruik ip adres

Zo bescherm je jezelf tegen IP-spoofing

Al decennia lang houdt de problematiek van IP-spoofing de veiligheidsdiensten en de vakmensen van de computerbranche bezig. Vooral het feit dat DoS- en DDoS-aanvallen zo simpel kunnen worden uitgevoerd, maakt de IP-manipulatieprocedure voor criminelen ook vandaag de dag nog interessant. Daarom bestaat al lang de vraag naar een doelgerichte filtering van het uitgaande dataverkeer door internetaanbieders, waarbij pakketten met bronadressen buiten het ten grondslag liggende netwerk worden geregistreerd en afgewezen. Tijd en kosten zijn echter belangrijke redenen waarom tot nu toe niet aan deze vraag kon worden voldaan.

Een tweede reden voor de terughoudendheid van de aanbieders ligt in de beveiligingseigenschappen van de vernieuwde internetprotocolversie IPv6. De officiële opvolger van de nu nog zeer wijdverbreide versie IPv4 bevat onder andere optionele authenticatie- en versleutelingsmogelijkheden voor de header van datapakketten, die IP-spoofing in de toekomst zouden kunnen verhinderen. De overstap op het nieuwe adresseringsprotocol blijkt tot nu toe echter een taaie aangelegenheid, wat zich bijvoorbeeld uit in de ontbrekende IPv6-ondersteuning van diverse gangbare netwerkapparaten.

Om te voorkomen dat een hacker je IP-adres vervalst en voor criminele doeleinden gebruikt, heb je dus alleen de mogelijkheid zelf het initiatief te nemen en eigen beschermingsmaatregelen te treffen. Het zwaartepunt moet daarbij op de volgende twee maatregelen liggen:

  • Stel een omvangrijk pakketfilter in voor je router of veiligheidsgateway. Dit moet ingaande datapakketten analyseren en afwijzen als ze bronadressen van apparaten binnen het netwerk bevatten. Anderzijds moet je ook zelf de uitgaande pakketten filteren met afzenderadressen die buiten het eigen netwerk liggen. Ook al zijn veiligheidsexperts van mening dat internetaanbieders hiervoor verantwoordelijk zijn.
  • Maak geen gebruik van verificatieprocedures op hostbasis. Zorg ervoor dat alle inlogprocedures via versleutelde verbindingen worden uitgevoerd. Zo minimaliseer je het risico op een IP-spoofing-aanval binnen je netwerk en zet je bovendien belangrijke standaards voor de algemene veiligheid.

Verder moet je natuurlijk oudere besturingssystemen en netwerkapparaten die je nog gebruikt, vervangen. Op die manier verhoog je niet alleen de bescherming tegen IP-spoofing, maar dicht je ook talrijke andere veiligheidsleemten.

  • Gecertificeerde veiligheid

    Gecertificeerde veiligheid
  • Beste hostingbedrijf

    Beste hostingbedrijf
  • MKB Best Choice

    MKB Best Choice
  • Professionele support

    Professionele support
  • Hosted in Germany

    Hosted in Germany