IP spoofing (IP sahtekarlığı) bilgisayar korsanlarının bilgisayarlara yetkisiz erişim elde etmek için kullandıkları özel bir tekniktir. IP spoofing kavramı, ilk olarak 1980 yılında akademik yayınlarla karşımıza çıkmaktadır. IP kimlik sahtekarlığı olarak Türkçeye çevirebileceğimiz IP Spoofing tekniği, genellikle DDOS saldırısının kaynağını maskelemek için kullanılır.
IP spoofing veya IP sahteciliği temelinde siber saldırganlar, kendilerini gizleyerek kurbanlara siber saldırı yapmayı amaçlarlar. DDOS saldırılarında ise kaynağı gizlemek, siber saldırının engellenmesini veya tespitini de zorlaştırmaktadır.
TCP paketlerinin üst bilgisinde bağlantı noktası ve numarası gibi bilgiler bulunmaktadır. Aynı zamanda Ethernet başlıklarında kaynak ve hedef için MAC adresi gibi özel bilgilere de yer verilmektedir. Örnek olarak bir paket güvenlik (Örnek TLS) için şifrelenmişse bir TLS başlığına sahip olmalıdır.
Saldırgan, farklı bir adresi içerecek şekilde IP başlığını değiştirilerek, paketin farklı bir makine tarafından gönderilmiş gibi görünmesini sağlayabilir. Saldırının gerçekleştirildiği bilgisayar gerçek kaynağı göremez ve cevap dönerken başlık bilgisinde yazan (değiştirilen) ip adresine dönüş yapılır. Ip spoofing teorik olarak tüm protokollerde gerçekleştirilebilir. Pratikte ise UDP kullanan uygulamalarda gerçekleştirilebilirken, TCP kullanan uygulamalarda gerçekleştirilemez. Bunun nedeni TCP’de üçlü el sıkışmanın zorunlu olması ve paket başlık bilgisindeki sıra numarasının tahmin edilemez olmasıdır.
IP Spoofing
IP spoofing sıklıkla DDoS saldırılarında kullanılır. Bu tür saldırılardaki amaç, hedef bilgisayarın cevap vermesini engelleyecek ve kapasitesini dolduracak kadar aşırı miktarda yüklenmektir. Her sahte paket farklı bir adresten geliyormuş gibi görünür bu sebeple filtrelemek daha zor bir hale gelir.
IP kimlik sahtekarlığı ile davetsiz misafir, bir bilgisayar sistemine IP adresi içeren ve iletinin gerçekte olduğundan farklı bir IP adresinden geldiğini belirten iletiler gönderir. Amaç yetkisiz erişim elde etmekse, sahte adres ile hedefin güvenilir bir ana bilgisayar olarak kabul ettiği bir bağlantı olarak görmesi sağlanılır.
Bir IP kimlik sahtekarlığı saldırısını başarıyla gerçekleştirmek için, siber saldırganların önce hedef sistemin güvenilir bir kaynak olarak gördüğü bir makinenin IP adresini tespit etmesi gerekir. Bilgisayar korsanları, güvenilir bir ana bilgisayarın IP adresini bulmak için çeşitli teknikler kullanabilir. Bu güvenilir IP adresine sahip olduktan sonra, gönderilen paket başlıklarını değiştirebilirler, böylece paketler bu ana bilgisayardan geliyormuş gibi görünür.
IP sahtekarlığı, diğer birçok saldırı türünden farklı olarak, gerçek bir saldırıda kullanılmadan önce güvenlik uzmanları tarafından teorikte mümkün olacağı biliniyordu. Bu tekniğin arkasındaki kavram bir süredir bilinmesine rağmen, Robert Morris, TCP protokolünde bir güvenlik zayıflığı tespit ederek bu durumun uygulamada da gerçekleştirilebileceği ispatlanmış oldu.
IP Spoofing saldırıları eskisi kadar sık kullanılmıyor. Bunun da en önemli nedeni kurumların güvenlik konusunda daha hassas hale gelmesidir. Özellikle de birçok ISP IP Spoofing’i engellemektedir. Ancak, kimlik sahtekarlığını günümüz dünyasında etkili bir saldırı türü olarak halen daha kullanılmaya devam etmektedir.
IP Spoofing’e Karşı Kullanılan Yöntemler
- Dahili IP adreslerinizle ilgili hiçbir bilgiyi açıklamayın. Bu en önemli tedbir olarak görülür.
- Siber saldırganlar hakkınızda ne kadar az şey bilirlerse o kadar güvende olursunuz.
- Ağ izleme yazılımları kullanarak IP Spoofing belirtileri için gelen IP paketlerini izlemeliyiz.
IP aldatmacasından kaynaklanan en önemli tehlike, bazı güvenlik duvarlarının dahili bir IP adresinden gelmiş gibi görünen paketleri incelememesidir. Kaynak adresi yerel etki alanında bulunan gelen paketleri filtrelemek üzere yapılandırılmamışlarsa, aşmak çok kolay olacaktır.
Yapılandırma Örnekleri
- Birden çok dahili arabirimi destekleyen harici ağlara yönlendiriciler,
- Proxy uygulamalarının kimlik doğrulama için kaynak IP adresini kullandığı proxy güvenlik duvarları
- Dahili ağda alt ağları destekleyen iki arabirime sahip yönlendiriciler
- Kaynak adresi yerel etki alanında bulunan paketleri filtrelemeyen yönlendiriciler
Linux İşletim Sisteminde IP Soofing Önleme
IP spoofing’i önlemek için Ubuntu Sunucusunu yapılandırmanız gerekecektir. Ubuntu Sunucusuna giriş yapın ve giriş yaptıktan sonra “sudo nano /etc/host.conf” komutunu çalıştırın. Ana bilgisayar yapılandırma dosyası açılacaktır. Host.conf yapılandırma dosyası, çözümleyici kitaplığına özgü yapılandırma bilgilerini içerir. Multi on şeklinde olan satırı nospoof on olarak değiştirin. Bu noktada DNS çözümleyici kitaplığına nospoof değerini ekleyerek ana bilgisayar adının taklit edilmesini önlemeye çalışılır.