İP Adresi Sahtekarlığı Nedir?
Adres sahteciliği, İnternet'teki bir kullanıcının, cihazın veya istemcinin taklit edilmesidir. Genellikle bir siber saldırı sırasında saldırı trafiğinin kaynağını gizlemek için kullanılır.
Adres sahteciliğinin en yaygın biçimleri şunlardır:
--DNS sunucusu sahtekarlığı : Bir etki alanı adını farklı bir IP adresine yeniden yönlendirmek için bir DNS sunucusunu değiştirir. Genellikle virüsleri yaymak için kullanılır.
--ARP sahtekarlığı : Bir failin MAC adresini sahte ARP mesajları aracılığıyla meşru bir IP adresine bağlar. Genellikle hizmet reddi (DoS) ve ortadaki adam saldırılarında kullanılır.
--IP adresi sahtekarlığı : Bir saldırganın başlangıç IP adresini gizler . Genellikle DoS saldırılarında kullanılır.
Bilgisayar ağları, her biri yönlendirme ve aktarım sürekliliğini sağlamak için kullanılan birden çok başlık içeren ağ veri paketleri alışverişi yoluyla iletişim kurar. Böyle bir başlık, paketi gönderenin IP adresini gösteren 'Kaynak IP Adresi'dir.
IP adresi sahtekarlığı, aşağıda açıklandığı gibi gönderenin kimliğini gizlemek veya yansıyan bir DDoS saldırısı başlatmak için genellikle rastgele sayılarla Kaynak IP başlığındaki içeriği tahrif etme eylemidir. IP sahtekarlığı, çoğu DDoS kötü amaçlı yazılım kitinde ve saldırı komut dosyasında varsayılan bir özelliktir ve onu çoğu ağ katmanı dağıtılmış hizmet reddi DDoS saldırılarının bir parçası haline getirir .
DDoS saldırılarında IP Adresi sahtekarlığı
IP adresi sahtekarlığı DDoS saldırılarında iki nedenle kullanılır:
1--Botnet cihaz konumlarını maskelemek,
2-- Yansıyan bir saldırı düzenlemek.
Botnet Cihazlarını Maskeleme
Bir botnet uzaktan sahiplerinin bilgisi olmadan failler tarafından kontrol zararlı yazılım bulaşmış cihazların kümesidir. Verilen bir etki alanına veya sunucuya toplu olarak erişmeleri talimatı verilebilir ve faillere büyük trafik selleri oluşturmak için bilgi işlem ve ağ kaynakları sağlar. Bu tür seller botnet operatörlerinin (çobanlar olarak da bilinir) hedeflerinin kaynak kapasitesini en üst düzeye çıkarmasına ve bunun sonucunda sunucu kesinti süresine ve ağ doygunluğuna neden olur.
Bot ağları tipik olarak rastgele, coğrafi olarak dağınık cihazlardan veya aynı tehlikeye atılmış ağa ait bilgisayarlardan (örneğin, hacklenmiş barındırma platformu) oluşur.
Failler botnet cihazlarının gerçek kimliklerini maskelemek için sahte IP adresleri kullanarak şunları hedefler:
1---Kolluk kuvvetleri ve adli siber araştırmacılar tarafından keşif ve ima etmekten kaçının.
2---Hedeflerin cihaz sahiplerine farkında olmadan katıldıkları bir saldırı hakkında bildirimde bulunmalarını önleyin.
3---Saldıran IP adreslerinin kara listeye alınması yoluyla DDoS saldırılarını azaltmaya çalışan güvenlik komut dosyalarını, cihazları ve hizmetleri atlayın.
Yansıyan DDoS
Yaygın yansıyan DDoS saldırı yöntemleri şunları içerir:
1--DNS amplifikasyonu - Bir hedefin sahte adresinden kaynaklanan HERHANGİ bir sorgu, çok sayıda güvenli olmayan DNS çözümleyicisine gönderilir. Her 60 baytlık istek 4000 baytlık bir yanıt isteyebilir ve saldırganların trafik çıktısını 1: 70'e kadar büyütmesine olanak tanır.
2--Smurf attack - Bir hedefin sahte adresinden bir ara yayın ağınabir ICMP Echo isteği gönderilir ve bu ağdaki her cihazdan yanıtlar tetiklenir. Güçlendirme derecesi, talebin yayınlandığı cihazların sayısına bağlıdır. Örneğin, 50 bağlı ana bilgisayara sahip bir ağ, 1:50 amplifikasyonla sonuçlanır.
3--NTP amplification - Hedefin sahte IP adresini içeren bir izleme listesi alma isteği, güvenli olmayan bir NTP sunucusuna gönderilir. DNS amplifikasyonunda olduğu gibi, küçük bir istek çok daha büyük bir yanıtı tetikleyerek maksimum 1: 200 amplifikasyon oranına izin verir.
Uygulama katmanı saldırılarında IP adresi sahtekarlığı
Uygulama katmanı bağlantılarının kurulabilmesi için, ana bilgisayar ve ziyaretçinin, TCP üç yönlü el sıkışması olarak bilinen bir karşılıklı doğrulama sürecine girmesi gerekir.
İşlem, aşağıdaki senkronizasyon (SYN) ve alındı (ACK) paketlerinin alışverişinden oluşur:
1--Ziyaretçi, bir ana bilgisayara SYN paketi gönderir.
2--Ana bilgisayar bir SYN-ACK ile yanıt verir.
3--Ziyaretçi, bir ACK paketi ile yanıtlayarak SYN-ACK'nın alındığını onaylar.
Kaynak IP sahtekarlığı, ziyaretçinin sahte IP adresine gönderilen SYN-ACK yanıtını almasını engellediğinden, bu işlemin üçüncü adımını imkansız hale getirir.
Tüm uygulama katmanı saldırıları TCP bağlantılarına ve 3 yönlü el sıkışma döngüsünün kapatılmasına dayandığından, yalnızca ağ katmanı DDoS saldırıları sahte adresler kullanabilir.
Güvenlik araştırmasında IP adresi sahtekarlığı
Güvenlik araştırmasında, ağ katmanı saldırılarından elde edilen IP verileri genellikle saldırgan kaynaklarının menşe ülkesini belirlemek için kullanılır. Bununla birlikte, IP adresi sahtekarlığı, kötü amaçlı trafiğin hem IP adresi hem de coğrafi konumu maskelenmiş olduğundan, bu verileri güvenilmez kılar.
Yalnızca ağ IP verilerine dayanan raporları okurken, bu sınırlamaların farkında olmak gerekir. Örneğin, uygulama katmanı saldırılarına karşı koruma sağlamayan bir azaltma sağlayıcısı tarafından hazırlanan bir rapora, botnet cihazlarının doğru konumlarını sağlamak için güvenilemez.
Sonuç olarak, botnet menşe ülkelerine yönelik herhangi bir önemli araştırma, yalnızca uygulama katmanı saldırı verilerine dayanabilir.
DDoS korumasında sahteciliği önleme
Belirtildiği gibi, IP adresi sahtekarlığı, daha önce bir saldırıya karıştığı bilinen adreslerin engellenmesi olan IP kara listeye dayanan temel güvenlik önlemlerini atlamak için yaygın olarak kullanılır.
Bunun üstesinden gelmek için modern azaltma çözümleri , yalnızca kaynak IP adresi yerine tüm paket başlıklarının ayrıntılı analizini kullanan derin paket incelemesine (DPI) dayanır . DPI ile azaltma çözümleri, kötü amaçlı trafiği belirlemek ve filtrelemek için diğer ölçümleri ortaya çıkarmak için farklı paket başlıklarının içeriğini çapraz inceleyebilir.
Örneğin, bir azaltma hizmeti, bir DDoS trafik akışını gözlemlemek ve normal bir modelle eşleşmeyen şüpheli şekilde aynı TTL'ler ve Toplam Uzunluk başlıklarına sahip bir paket akışını tanımlamak için DPI kullanabilir. Hizmet, bu tür küçük anormallikleri izleyerek, saldıran bir paketin ayrıntılı bir profilini oluşturabilir ve normal ziyaretçi akışını etkilemeden kötü amaçlı trafiği ayıklamak için kullanabilir.
DPI'ın dezavantajı, sürecin çok kaynak yoğun olmasıdır. DDoS saldırısı gibi ölçekte gerçekleştirildiğinde, DPI muhtemelen performans düşüşüne neden olabilir - hatta bazen korunan ağı neredeyse tamamen tepkisiz hale getirir.Sıfırdan inşa edilen her Behemoth temizleyici, gelen tüm verilerin ayrıntılı görünürlüğünü sağlar ve böylece saldırı trafiğinin ağınıza asla girmemesini sağlar. Bu arada, geçerli ziyaretçi trafiğiniz engelsiz akar.
Kaynak: https://www.imperva.com/learn/ddos/ip-spoofing/
Adres sahteciliği, İnternet'teki bir kullanıcının, cihazın veya istemcinin taklit edilmesidir. Genellikle bir siber saldırı sırasında saldırı trafiğinin kaynağını gizlemek için kullanılır.
Adres sahteciliğinin en yaygın biçimleri şunlardır:
--DNS sunucusu sahtekarlığı : Bir etki alanı adını farklı bir IP adresine yeniden yönlendirmek için bir DNS sunucusunu değiştirir. Genellikle virüsleri yaymak için kullanılır.
--ARP sahtekarlığı : Bir failin MAC adresini sahte ARP mesajları aracılığıyla meşru bir IP adresine bağlar. Genellikle hizmet reddi (DoS) ve ortadaki adam saldırılarında kullanılır.
--IP adresi sahtekarlığı : Bir saldırganın başlangıç IP adresini gizler . Genellikle DoS saldırılarında kullanılır.
Bilgisayar ağları, her biri yönlendirme ve aktarım sürekliliğini sağlamak için kullanılan birden çok başlık içeren ağ veri paketleri alışverişi yoluyla iletişim kurar. Böyle bir başlık, paketi gönderenin IP adresini gösteren 'Kaynak IP Adresi'dir.
IP adresi sahtekarlığı, aşağıda açıklandığı gibi gönderenin kimliğini gizlemek veya yansıyan bir DDoS saldırısı başlatmak için genellikle rastgele sayılarla Kaynak IP başlığındaki içeriği tahrif etme eylemidir. IP sahtekarlığı, çoğu DDoS kötü amaçlı yazılım kitinde ve saldırı komut dosyasında varsayılan bir özelliktir ve onu çoğu ağ katmanı dağıtılmış hizmet reddi DDoS saldırılarının bir parçası haline getirir .
DDoS saldırılarında IP Adresi sahtekarlığı
IP adresi sahtekarlığı DDoS saldırılarında iki nedenle kullanılır:
1--Botnet cihaz konumlarını maskelemek,
2-- Yansıyan bir saldırı düzenlemek.
Botnet Cihazlarını Maskeleme
Bir botnet uzaktan sahiplerinin bilgisi olmadan failler tarafından kontrol zararlı yazılım bulaşmış cihazların kümesidir. Verilen bir etki alanına veya sunucuya toplu olarak erişmeleri talimatı verilebilir ve faillere büyük trafik selleri oluşturmak için bilgi işlem ve ağ kaynakları sağlar. Bu tür seller botnet operatörlerinin (çobanlar olarak da bilinir) hedeflerinin kaynak kapasitesini en üst düzeye çıkarmasına ve bunun sonucunda sunucu kesinti süresine ve ağ doygunluğuna neden olur.
Bot ağları tipik olarak rastgele, coğrafi olarak dağınık cihazlardan veya aynı tehlikeye atılmış ağa ait bilgisayarlardan (örneğin, hacklenmiş barındırma platformu) oluşur.
Failler botnet cihazlarının gerçek kimliklerini maskelemek için sahte IP adresleri kullanarak şunları hedefler:
1---Kolluk kuvvetleri ve adli siber araştırmacılar tarafından keşif ve ima etmekten kaçının.
2---Hedeflerin cihaz sahiplerine farkında olmadan katıldıkları bir saldırı hakkında bildirimde bulunmalarını önleyin.
3---Saldıran IP adreslerinin kara listeye alınması yoluyla DDoS saldırılarını azaltmaya çalışan güvenlik komut dosyalarını, cihazları ve hizmetleri atlayın.
Yansıyan DDoS
Yaygın yansıyan DDoS saldırı yöntemleri şunları içerir:
1--DNS amplifikasyonu - Bir hedefin sahte adresinden kaynaklanan HERHANGİ bir sorgu, çok sayıda güvenli olmayan DNS çözümleyicisine gönderilir. Her 60 baytlık istek 4000 baytlık bir yanıt isteyebilir ve saldırganların trafik çıktısını 1: 70'e kadar büyütmesine olanak tanır.
2--Smurf attack - Bir hedefin sahte adresinden bir ara yayın ağınabir ICMP Echo isteği gönderilir ve bu ağdaki her cihazdan yanıtlar tetiklenir. Güçlendirme derecesi, talebin yayınlandığı cihazların sayısına bağlıdır. Örneğin, 50 bağlı ana bilgisayara sahip bir ağ, 1:50 amplifikasyonla sonuçlanır.
3--NTP amplification - Hedefin sahte IP adresini içeren bir izleme listesi alma isteği, güvenli olmayan bir NTP sunucusuna gönderilir. DNS amplifikasyonunda olduğu gibi, küçük bir istek çok daha büyük bir yanıtı tetikleyerek maksimum 1: 200 amplifikasyon oranına izin verir.
Uygulama katmanı saldırılarında IP adresi sahtekarlığı
Uygulama katmanı bağlantılarının kurulabilmesi için, ana bilgisayar ve ziyaretçinin, TCP üç yönlü el sıkışması olarak bilinen bir karşılıklı doğrulama sürecine girmesi gerekir.
İşlem, aşağıdaki senkronizasyon (SYN) ve alındı (ACK) paketlerinin alışverişinden oluşur:
1--Ziyaretçi, bir ana bilgisayara SYN paketi gönderir.
2--Ana bilgisayar bir SYN-ACK ile yanıt verir.
3--Ziyaretçi, bir ACK paketi ile yanıtlayarak SYN-ACK'nın alındığını onaylar.
Kaynak IP sahtekarlığı, ziyaretçinin sahte IP adresine gönderilen SYN-ACK yanıtını almasını engellediğinden, bu işlemin üçüncü adımını imkansız hale getirir.
Tüm uygulama katmanı saldırıları TCP bağlantılarına ve 3 yönlü el sıkışma döngüsünün kapatılmasına dayandığından, yalnızca ağ katmanı DDoS saldırıları sahte adresler kullanabilir.
Güvenlik araştırmasında IP adresi sahtekarlığı
Güvenlik araştırmasında, ağ katmanı saldırılarından elde edilen IP verileri genellikle saldırgan kaynaklarının menşe ülkesini belirlemek için kullanılır. Bununla birlikte, IP adresi sahtekarlığı, kötü amaçlı trafiğin hem IP adresi hem de coğrafi konumu maskelenmiş olduğundan, bu verileri güvenilmez kılar.
Yalnızca ağ IP verilerine dayanan raporları okurken, bu sınırlamaların farkında olmak gerekir. Örneğin, uygulama katmanı saldırılarına karşı koruma sağlamayan bir azaltma sağlayıcısı tarafından hazırlanan bir rapora, botnet cihazlarının doğru konumlarını sağlamak için güvenilemez.
Sonuç olarak, botnet menşe ülkelerine yönelik herhangi bir önemli araştırma, yalnızca uygulama katmanı saldırı verilerine dayanabilir.
DDoS korumasında sahteciliği önleme
Belirtildiği gibi, IP adresi sahtekarlığı, daha önce bir saldırıya karıştığı bilinen adreslerin engellenmesi olan IP kara listeye dayanan temel güvenlik önlemlerini atlamak için yaygın olarak kullanılır.
Bunun üstesinden gelmek için modern azaltma çözümleri , yalnızca kaynak IP adresi yerine tüm paket başlıklarının ayrıntılı analizini kullanan derin paket incelemesine (DPI) dayanır . DPI ile azaltma çözümleri, kötü amaçlı trafiği belirlemek ve filtrelemek için diğer ölçümleri ortaya çıkarmak için farklı paket başlıklarının içeriğini çapraz inceleyebilir.
Örneğin, bir azaltma hizmeti, bir DDoS trafik akışını gözlemlemek ve normal bir modelle eşleşmeyen şüpheli şekilde aynı TTL'ler ve Toplam Uzunluk başlıklarına sahip bir paket akışını tanımlamak için DPI kullanabilir. Hizmet, bu tür küçük anormallikleri izleyerek, saldıran bir paketin ayrıntılı bir profilini oluşturabilir ve normal ziyaretçi akışını etkilemeden kötü amaçlı trafiği ayıklamak için kullanabilir.
DPI'ın dezavantajı, sürecin çok kaynak yoğun olmasıdır. DDoS saldırısı gibi ölçekte gerçekleştirildiğinde, DPI muhtemelen performans düşüşüne neden olabilir - hatta bazen korunan ağı neredeyse tamamen tepkisiz hale getirir.Sıfırdan inşa edilen her Behemoth temizleyici, gelen tüm verilerin ayrıntılı görünürlüğünü sağlar ve böylece saldırı trafiğinin ağınıza asla girmemesini sağlar. Bu arada, geçerli ziyaretçi trafiğiniz engelsiz akar.