IP spoofing là gì?

Mỗi máy tính trong mạng được định danh bằng địa chỉ IP, địa chỉ này sử dụng để giao tiếp với các thiết bị khác trên cùng mạng. Địa chỉ IP có nhiều dạng khác nhau, dạng phổ biến hơn, được gọi là IPv4, cung cấp cho mỗi máy tính một mã định danh 32 bit (ví dụ: 192.168.34.12).Trên một số mạng, việc bảo vệ các tài nguyên (resource) được thực hiện bằng cách chỉ định địa chỉ IP nào có thể truy cập tài nguyên nào. Một cuộc tấn công giả mạo IP xảy ra khi một tác nhân độc hại che giấu danh tính bằng cách hiện diện địa chỉ IP của một thiết bị hợp pháp để có quyền truy cập vào các tài nguyên mà không có quyền truy cập.

Ví dụ: quyền truy cập vào một máy chủ có thể bị giới hạn trong một tập hợp hoặc dải địa chỉ IP cụ thể. Một tin tặc thao túng các gói tin (packet) bằng cách chỉnh sửa header của IP để địa chỉ của người gửi như địa chỉ của một máy tính hợp pháp. Bằng cách làm này, kẻ tấn công đánh lừa máy chủ (server) nghĩ rằng các gói tin đến từ một thiết bị được cho phép. Tin tặc sử dụng giả mạo IP theo một số cách khác nhau, bao gồm các cuộc tấn công DDoS, trong đó những kẻ tấn công làm cạn tài nguyên máy chủ (server), làm sập hệ thống mạng bằng lượng traffic không có thật. Giả mạo IP cũng có thể được sử dụng trong các cuộc tấn công man-in-the-middle. Trong trường hợp này, kẻ tấn công đứng giữa hai bên (party), giả mạo từng địa chỉ IP của hai bên. Bằng cách này, mỗi nạn nhân sẽ gửi các packet cho kẻ tấn công thay vì gửi trực tiếp đến điểm đến thực.

Biện pháp phòng thủ lớn nhất chống lại các cuộc tấn công MitM được thực hiện thông qua giả mạo IP là sử dụng thông tin liên lạc được mã hóa. Khi thông tin của hai bên được mã hóa bằng khóa mà chỉ hai bên nắm giữ, điều đó sẽ đảm bảo rằng ngay cả khi một bên độc hại cố gắng chặn lưu lượng truy cập sẽ không thể đọc hoặc thao tác nội dung của nó. Việc xác thực danh tính người dùng cũng ngăn không cho tin tặc truy cập trái phép vào tài nguyên mạng bằng cách giả mạo địa chỉ IP của họ.