Giả mạo là một loại tấn công mạng cụ thể trong đó một người cố gắng sử dụng một máy tính, thiết bị hoặc mạng để đánh lừa các mạng máy tính khác bằng cách ngụy trang thành một thực thể hợp pháp. Đây là một trong nhiều công cụ mà tin tặc sử dụng để giành quyền truy cập vào các máy tính nhằm khai thác chúng để lấy những dữ liệu nhạy cảm, biến chúng thành xác sống (máy tính bị chiếm quyền điều khiển vì mục đích độc hại) hoặc phát động các cuộc tấn công Từ chối dịch vụ (DoS). Trong số các loại giả mạo, giả mạo IP là phổ biến nhất.
Giả mạo IP là gì?
Giả mạo IP hoặc giả mạo địa chỉ IP là việc tạo các gói Giao thức Internet (IP) có địa chỉ IP nguồn giả để mạo danh hệ thống máy tính khác. Việc giả mạo IP cho phép tội phạm mạng thực hiện các hành động độc hại, thường không bị phát hiện. Điều này có thể bao gồm việc đánh cắp dữ liệu, lây nhiễm phần mềm độc hại vào thiết bị của bạn hoặc làm sập máy chủ của bạn
Để tìm hiểu thêm về địa chỉ IP là gì và cách bảo vệ nó, hãy xem video này trên YouTube:
Cách giả mạo IP hoạt động
Hãy bắt đầu với một số thông tin cơ bản: Dữ liệu được truyền qua Internet trước tiên được chia thành nhiều gói, các gói đó được gửi độc lập và được ráp lại ở cuối. Mỗi gói đều có một tiêu đề IP (Giao thức Internet) chứa thông tin về gói, bao gồm địa chỉ IP nguồn và địa chỉ IP đích.
Trong giả mạo IP, tin tặc sử dụng các công cụ để sửa đổi địa chỉ nguồn trong tiêu đề gói nhằm khiến hệ thống máy tính nhận cho rằng gói tin đến từ một nguồn đáng tin cậy, chẳng hạn như một máy tính khác trên mạng hợp pháp và chấp nhận nó. Điều này xảy ra ở cấp độ mạng, do đó không có dấu hiệu can thiệp bên ngoài.
Trong các hệ thống dựa trên mối quan hệ tin cậy giữa các máy tính được kết nối mạng, trò giả mạo IP có thể được sử dụng để qua mặt quy trình xác thực địa chỉ IP. Đôi khi một khái niệm phòng thủ được biết đến là hai phe giống như "lâu đài và hào nước", trong đó những người bên ngoài mạng được coi là mối đe dọa, còn những người bên trong "lâu đài" được tin cậy. Một khi tin tặc xâm nhập mạng và vào được bên trong thì việc khám phá hệ thống trở nên dễ dàng. Vì lỗ hổng bảo mật này, chiến lược phòng thủ ngày càng chọn thay thế việc sử dụng xác thực đơn giản bằng các phương pháp bảo mật mạnh hơn, chẳng hạn như phương pháp xác thực nhiều bước.
Trong khi giả mạo IP thường được tội phạm mạng sử dụng để thực hiện gian lận trực tuyến và trộm cắp danh tính hoặc đóng cửa các trang web và máy chủ của công ty, đôi khi người ta cũng có thể sử dụng chúng cho mục đích hợp pháp. Chẳng hạn, các tổ chức có thể sử dụng kỹ thuật giả mạo IP khi thử nghiệm các trang web trước khi đưa chúng vào hoạt động. Điều này sẽ liên quan đến việc tạo hàng nghìn người dùng ảo để kiểm tra trang web xem nó có thể xử lý được một lượng lớn đăng nhập mà không bị quá tải hay không. Nếu sử dụng theo cách này thì giả mạo IP không phải là bất hợp pháp.
Các loại giả mạo IP
Ba hình thức tấn công giả mạo IP phổ biến nhất là:
Tấn công từ chối dịch vụ phân tán (DDoS)
Trong một cuộc tấn công DDoS, tin tặc sử dụng địa chỉ IP giả mạo để làm các máy chủ của máy tính bị quá tải với các gói dữ liệu. Việc này cho phép chúng làm chậm hoặc làm sập một trang web hoặc một mạng có lưu lượng internet lớn mà vẫn che giấu được danh tính của chúng.
Che giấu các thiết bị botnet
Có thể sử dụng giả mạo IP để giành quyền truy cập vào máy tính bằng cách che giấu botnet. Botnet là một mạng máy tính mà tin tặc điều khiển từ một nguồn duy nhất. Mỗi máy tính chạy một bot chuyên dụng để thực hiện hoạt động độc hại thay mặt cho kẻ tấn công. Việc giả mạo IP cho phép kẻ tấn công che giấu botnet vì mỗi bot trong mạng đều có một địa chỉ IP giả mạo, khiến việc truy vết tác nhân độc hại trở thành thách thức. Việc này có thể kéo dài thời gian tấn công để tối đa hóa lợi ích.
Tấn công xen giữa
Một phương thức giả mạo IP độc hại khác sử dụng cách tấn công "xen giữa" để làm gián đoạn việc giao tiếp giữa hai máy tính, thay đổi các gói tin và truyền chúng đi mà người gửi hoặc người nhận ban đầu không hề hay biết. Nếu kẻ tấn công giả mạo một địa chỉ IP và giành được quyền truy cập vào các tài khoản liên lạc cá nhân, chúng có thể theo dõi mọi mặt của liên lạc đó. Từ đó, kẻ tấn công có thể đánh cắp thông tin, chuyển hướng người dùng đến các trang web giả mạo và nhiều nữa. Theo thời gian, tin tặc sẽ thu thập được nhiều thông tin bí mật để sử dụng hoặc bán – điều này có nghĩa là các cuộc tấn công xen giữa có thể sinh lợi nhiều hơn các kiểu tấn công khác.
Ví dụ về giả mạo IP
Một trong những ví dụ được trích dẫn thường xuyên nhất về tấn công giả mạo IP là cuộc tấn công DDoS của GitHub năm 2018. GitHub là một nền tảng lưu trữ mã và vào tháng 2 năm 2018, nền tảng này đã phải hứng chịu cuộc tấn công DDoS được cho là lớn nhất từ trước đến nay. Những kẻ tấn công đã giả mạo địa chỉ IP của GitHub trong một cuộc tấn công phối hợp lớn đến mức khiến dịch vụ này ngừng hoạt động trong gần 20 phút. GitHub đã giành lại quyền kiểm soát bằng cách định tuyến lại lưu lượng thông qua một đối tác trung gian và xóa dữ liệu để chặn các bên độc hại.
Một ví dụ trước đó xảy ra vào năm 2015 khi Europol trấn áp một vụ tấn công xen giữa trên toàn châu lục. Cuộc tấn công liên quan đến việc tin tặc chặn các yêu cầu thanh toán giữa các doanh nghiệp và khách hàng. Bọn tội phạm đã sử dụng cách giả mạo IP để giành quyền truy cập trái phép vào tài khoản email của các tổ chức. Sau đó, chúng rình mò các liên lạc và chặn các yêu cầu thanh toán từ khách hàng – để có thể lừa những khách hàng đó gửi thanh toán vào các tài khoản ngân hàng mà chúng kiểm soát.
Giả mạo IP không phải là hình thức giả mạo mạng duy nhất – còn có các loại khác, bao gồm giả mạo email, giả mạo trang web, giả mạo ARP, giả mạo tin nhắn văn bản và nhiều nữa. Bạn có thể đọc hướng dẫn đầy đủ của Kaspersky về các loại giả mạo khác tại đây.
Cách phát hiện giả mạo IP
Người dùng cuối khó phát hiện hành vi giả mạo IP, điều đó khiến việc này trở nên nguy hiểm. Đó là do các cuộc tấn công giả mạo IP được thực hiện ở các lớp mạng – tức là Lớp 3 của mô hình truyền thông Kết nối hệ thống mở. Việc này không để lại dấu hiệu can thiệp bên ngoài – thông thường, các yêu cầu kết nối giả mạo có thể xuất hiện hợp pháp khi nhìn từ bên ngoài.
Tuy nhiên, các tổ chức có thể sử dụng các công cụ giám sát mạng để phân tích lưu lượng tại các thiết bị đầu cuối. Lọc gói tin là cách phổ biến nhất để làm việc này. Các hệ thống lọc gói tin – thường được chứa trong các bộ định tuyến và tường lửa – phát hiện sự không nhất quán giữa địa chỉ IP của gói tin và địa chỉ IP mong muốn có trong các danh sách kiểm soát truy cập (ACL). Chúng cũng phát hiện các gói gian lận.
Hai loại lọc gói chính là lọc đầu vào và lọc đầu ra:
- Lọc đầu vào sẽ xem xét các gói gửi đến để đánh giá xem tiêu đề IP nguồn có khớp với địa chỉ nguồn được phép hay không. Bất kỳ gói nào có vẻ đáng ngờ đều sẽ bị từ chối.
- Lọc đầu ra xem xét các gói gửi đi để kiểm tra xem có địa chỉ IP nguồn nào không khớp với địa chỉ IP trên mạng của tổ chức hay không. Tính năng này được thiết kế để ngăn chặn người trong cuộc phát động các cuộc tấn công giả mạo IP.
Cách bảo vệ chống lại giả mạo IP
Các cuộc tấn công giả mạo IP được thiết kế để che giấu danh tính thực của kẻ tấn công, khiến chúng khó bị phát hiện. Tuy nhiên, có thể thực hiện một số bước chống giả mạo để giảm thiểu rủi ro. Người dùng cuối không thể ngăn chặn việc giả mạo IP vì ngăn chặn giả mạo IP hết sức mình là nhiệm vụ của nhóm phía máy chủ.
Bảo vệ chống giả mạo IP đối với các chuyên gia CNTT:
Hầu hết các chiến lược được dùng để tránh giả mạo IP phải được các chuyên gia CNTT phát triển và triển khai. Các tùy chọn để bảo vệ chống lại việc giả mạo IP bao gồm:
- Giám sát các mạng để phát hiện hoạt động bất thường.
- Triển khai lọc gói để phát hiện sự không nhất quán (chẳng hạn như các gói gửi đi có địa chỉ IP nguồn không khớp với địa chỉ IP trên mạng của tổ chức).
- Sử dụng các phương thức xác minh mạnh (kể cả giữa các máy tính được kết nối mạng).
- Xác thực tất cả các địa chỉ IP và sử dụng trình chặn tấn công mạng.
- Đặt ít nhất một phần tài nguyên máy tính sau tường lửa. Tường lửa sẽ giúp bảo vệ mạng của bạn bằng cách lọc lưu lượng có các địa chỉ IP giả mạo, xác minh lưu lượng truy cập và chặn truy cập của những người bên ngoài không được phép.
Các nhà thiết kế web được khuyến khích di chuyển các trang web sang IPv6, Giao thức Internet mới nhất. Nó làm cho việc giả mạo IP trở nên khó khăn hơn bằng cách bao gồm các bước mã hóa và xác thực. Một tỷ lệ lớn lưu lượng internet trên thế giới vẫn sử dụng giao thức IPv4 cũ.
Bảo vệ chống giả mạo IP đối với người dùng cuối:
Người dùng cuối không thể ngăn chặn việc giả mạo IP. Nói như vậy, việc thực hành an toàn mạng sẽ giúp tối đa hóa sự an toàn của bạn khi trực tuyến. Các biện pháp phòng ngừa hợp lý bao gồm:
Đảm bảo mạng gia đình của bạn được thiết lập an toàn
Điều này có nghĩa là phải thay đổi tên người dùng và mật khẩu mặc định trên bộ định tuyến gia đình và tất cả các thiết bị được kết nối, đồng thời đảm bảo bạn sử dụng mật khẩu mạnh. Một mật khẩu mạnh sẽ tránh bị dễ đoán và chứa ít nhất 12 ký tự, kết hợp các chữ hoa, chữ thường, số và ký hiệu. Bạn có thể đọc Hướng dẫn đầy đủ của Kaspersky về cách thiết lập mạng gia đình an toàn tại đây.
Cẩn thận khi sử dụng Wi-Fi công cộng
Tránh thực hiện các giao dịch như mua sắm hoặc giao dịch ngân hàng trên mạng Wi-Fi công cộng không an toàn. Nếu bạn thực sự cần sử dụng điểm truy cập công cộng, hãy tối đa hóa sự an toàn của bạn bằng cách sử dụng một mạng riêng ảo. VPN mã hóa kết nối internet của bạn để bảo vệ dữ liệu riêng tư mà bạn gửi và nhận.
Đảm bảo các trang web mà bạn truy cập là HTTPS
Một số trang web không mã hóa dữ liệu. Nếu không có chứng chỉ SSL mới nhất, chúng sẽ dễ bị tấn công hơn. Các trang web có URL bắt đầu là HTTP thay vì HTTPS không an toàn – đây là rủi ro cho người dùng khi chia sẻ thông tin nhạy cảm với trang web đó. Đảm bảo rằng bạn đang sử dụng trang web HTTPS và tìm biểu tượng ổ khóa trên thanh địa chỉ URL.
Cảnh giác khi nói đến các nỗ lực giả mạo
Cảnh giác với các email giả mạo từ những kẻ tấn công yêu cầu bạn cập nhật mật khẩu hoặc thông tin đăng nhập khác hoặc dữ liệu thẻ thanh toán. Email giả mạo được thiết kế trông giống như được gửi từ các tổ chức có uy tín nhưng thực chất lại được gửi bởi những kẻ lừa đảo. Tránh nhấn vào các đường liên kết hoặc mở tập tin đính kèm trong email giả mạo.
Sử dụng phần mềm diệt virus toàn diện
Cách tốt nhất để đảm bảo an toàn khi trực tuyến là sử dụng phần mềm diệt virus chất lượng cao để bảo vệ bạn khỏi tin tặc, virus, phần mềm độc hại và các mối đe dọa trực tuyến mới nhất. Việc cập nhật phần mềm thường xuyên cũng rất quan trọng để đảm bảo phần mềm có các tính năng bảo mật mới nhất.
Sản phẩm được khuyến cáo
