IP-spoofing: Hoe het werkt en hoe je het kunt voorkomen

Spoofing is een specifiek type cyberaanval waarin iemand probeert een computer, apparaat of netwerk te gebruiken om andere computernetwerken te misleiden door zich voor te doen als een legitieme entiteit. Het is een van de vele tools die hackers gebruiken om toegang te krijgen tot computers om gevoelige gegevens te stelen, er zombies (computers die worden overgenomen voor kwaadwillige doeleinden) van te maken of om DoS-aanvallen (Denial-of-Service) te starten. IP-spoofing is de meest gebruikelijke vorm van spoofing.

Wat is IP-spoofing?

IP-spoofing, of spoofing van IP-adressen, verwijst naar het maken van IP-pakketten (Internet Protocol) met een vervalst IP-bronadres met als doel zich voor te doen als een ander computersysteem. Door middel van IP-spoofing kunnen cybercriminelen kwaadwillende handelingen uitvoeren, vaak onopgemerkt. Zo kunnen ze je gegevens stelen, malware installeren op je apparaat of je server vast laten lopen.

Hoe werkt IP-spoofing?

Om te beginnen wat achtergrondinformatie: de gegevens die via internet worden verzonden, worden eerst opgebroken in meerdere pakketten die onafhankelijk van elkaar worden verzonden en op de plaats van bestemming weer in elkaar worden gezet. Elk pakket heeft een IP-header (Internet Protocol) met informatie over het pakket, zoals het IP-bronadres en het IP-doeladres.

Bij IP-spoofing gebruikt een hacker tools om het bronadres in de pakketheader aan te passen, zodat het ontvangende computersysteem denkt dat het pakket afkomstig is van een betrouwbare bron, zoals een andere computer op een legitiem netwerk, en het pakket accepteert. Dit vindt plaats op netwerkniveau, zodat er geen externe signalen van manipulatie zijn.

Op systemen die afhankelijk zijn van vertrouwensrelaties tussen op een netwerk aangesloten computers kan IP-spoofing worden gebruikt om verificatie van het IP-adres te omzeilen. Dit wordt soms ook wel de 'kasteel en slotgracht'-defensie genoemd, een concept waarbij partijen buiten het netwerk als dreigingen worden beschouwd en de partijen binnen het 'kasteel' vertrouwd worden. Als het een hacker eenmaal gelukt is het netwerk binnen te dringen, kan hij of zij het systeem gemakkelijk verkennen. Vanwege dit zwakke punt wordt het gebruik van eenvoudige verificatie als een verdedigingsmechanisme steeds vaker vervangen door een stringentere aanpak, zoals uit meerdere stappen bestaande verificatie.

Hoewel cybercriminelen IP-spoofing vaak gebruiken om internetfraude en identiteitsdiefstal te plegen of om de websites en servers van bedrijven uit te schakelen, kan IP-spoofing ook worden gebruikt voor legitieme doeleinden. Organisaties kunnen bijvoorbeeld IP-spoofing gebruiken als ze websites testen voordat deze live gaan. Dan maken ze duizenden virtuele gebruikers om te zien of de website grote aantallen aanmeldingen aankan zonder vast te lopen. Het is niet illegaal om IP-spoofing voor dergelijke doeleinden te gebruiken.

Typen IP-spoofing

Dit zijn de drie meest gebruikelijke typen IP-spoofaanvallen:

DDoS-aanvallen (Distributed Denial of Service)

Tijdens een DDoS-aanval gebruiken hackers gespoofte IP-addressen om computerservers te overspoelen met pakketten gegevens. Op deze manier kunnen ze met grote volumes internetverkeer een website of netwerk vertragen of laten vastlopen zonder hun identiteit te openbaren.

Botnetapparaten met maskering

IP-spoofing kan worden gebruikt om via maskerende botnets toegang te krijgen tot computers. Een botnet is een computernetwerk dat hackers besturen vanaf één bron. Elke computer bestuurt een eigen bot die kwaadwillende activiteiten uitvoert namens de aanvaller. Dankzij IP-spoofing kan de aanvaller de botnet maskeren, omdat elke bot in het netwerk een vervalst IP-adres heeft, zodat het lastig is de aanvaller te traceren. Dit betekent dat de aanval langer kan duren en hackers er optimaal van profiteren.

'Man-in-the-middle'-aanvallen

Een andere IP-spoofingmethode onderschept via een ‘man-in-the-middle’-aanval de communicatie tussen twee computers, wijzigt de pakketten en verzendt deze zonder wetenschap van de oorspronkelijke afzender of ontvanger. Als aanvallers een IP-adres spoofen en toegang krijgen tot persoonlijke communicatie-accounts, kunnen ze elk aspect van die communicatie traceren. En dan kunnen ze gegevens stelen, gebruikers doorsturen naar vervalste websites, en nog veel meer. Mettertijd verzamelen hackers zo een schat aan vertrouwelijke gegevens die ze kunnen gebruiken of verkopen. Daarom zijn 'man-in-the-middle'-aanvallen vaak bijzonder lucratief.

Voorbeelden van IP-spoofing

Een van de meest besproken voorbeelden van een IP-spoofingaanval is de DDoS-aanval op GitHub in 2018. GitHub is een hostingplatform voor code en was in februari 2018 het slachtoffer van waarschijnlijk de grootste DDoS-aanval ooit. Aanvallers spooften het IP-adres van GitHub in een gecoördineerde aanval van zo'n enorme omvang dat de service bijna 20 minuten inactief was. GitHub kreeg de controle weer in handen door het verkeer via een tussenliggende partner om te leiden en gegevens te scrubben om kwaadwillende partijen te blokkeren.

Een eerder voorbeeld vond plaats in 2015 toen Europol hard ingreep na een 'man-in-the-middle'-aanval op het hele continent. Bij deze aanval wisten hackers betalingsverzoeken tussen bedrijven en hun klanten te onderscheppen. De criminelen gebruikten IP-spoofing om ongeoorloofde toegang te krijgen tot de e-mailaccounts van bedrijven. Ze lazen de communicatie en onderschepten betalingsverzoeken aan klanten om deze klanten ertoe te verleiden betalingen naar hun bankrekeningen te sturen.

IP-spoofing is niet de enige vorm van netwerkspoofing, er zijn nog meer typen, zoals e-mailspoofing, websitespoofing, ARP-spoofing, sms-spoofing en meer. Hier vind je de volledige Kaspersky-gids over de verschillende typen spoofing.

IP-spoofing detecteren

IP-spoofing is zo gevaarlijk omdat het lastig is voor eindgebruikers om het te detecteren. Dat komt omdat IP-spoofaanvallen zijn gericht op de netwerklagen, dat wil zeggen Laag 3 van het Open System Interconnection-communicatiemodel. Ze laten geen externe sporen van manipulatie achter. Gespoofde verbindingsverzoeken zien er van de buitenkant vaak legitiem uit.

Organisaties kunnen echter tools voor netwerkmonitoring gebruiken om het verkeer aan de eindpunten te analyseren. Dit gebeurt meestal door middel van pakketfiltering. Systemen voor pakketfiltering zijn vaak geïntegreerd in routers en firewalls en detecteren inconsistentie tussen het IP-adres van het pakket en de gewenste IP-adressen op toegangsbeheerlijsten (ACL's). Ze detecteren ook frauduleuze pakketten.

De twee belangrijkste typen pakketfiltering zijn filtering van inkomend en van uitgaand verkeer:

• Filtering van inkomend verkeer controleert inkomende pakketten om te zien of de IP-header van de bron overeenkomt met een toegestaan bronadres. Alle verdachte pakketten worden geweigerd.
• Filtering van uitgaand verkeer controleert of de IP-adressen van de bron van uitgaande pakketten overeenkomen met de adressen van het bedrijfsnetwerk. Zo wordt voorkomen dat insiders een IP-spoofingaanval uitvoeren.

Bescherming tegen IP-spoofing

IP-spoofingaanvallen zijn ontworpen om de ware identiteit van de aanvaller te verbergen en zijn daarom lastig op te sporen. Je kunt echter wel enkele maatregelen nemen om het risico op spoofing te verlagen. Eindgebruikers kunnen IP-spoofing niet voorkomen, dat is de taak van serverside teams.

Bescherming tegen IP-spoofing voor IT-specialisten:

De meeste strategieën voor het vermijden van IP-spoofing moeten worden ontwikkeld en geïmplementeerd door IT-specialisten. Enkele van de opties die kunnen beschermen tegen IP-spoofing:

• Controleren op ongebruikelijke netwerkactiviteiten.
• Pakketfiltering implementeren om inconsistenties te detecteren (zoals uitgaande pakketten met IP-bronadresssen die niet overeenkomen met die van het bedrijfsnetwerk).
• Robuuste verificatiemethodes gebruiken (ook op netwerkcomputers).
• Alle IP-adressen verifiëren en een Network Attack Blocker gebruiken.
• Minstens een deel van de computerbronnen achter een firewall plaatsen. Een firewall helpt je netwerk te beschermen door het verkeer met vervalste IP-adressen te filteren, het verkeer te verifiëren en de toegang te blokkeren voor onbevoegde outsiders.

Het wordt webdesigners aangeraden sites te migreren naar IPv6, het nieuwste internetprotocol. Dit maakt IP-spoofing lastiger omdat er coderings- en verificatiestappen in opgenomen zijn. Een groot deel van het internetverkeer ter wereld maakt nog steeds gebruik van het vorige protocol, IPv4.

Bescherming tegen IP-spoofing voor eindgebruikers:

Eindgebruikers kunnen IP-spoofing niet voorkomen. Niettemin kun je je online veiligheid optimaliseren door je aan de regels voor cyberhygiëne te houden. Tref bijvoorbeeld de volgende verstandige voorzorgsmaatregelen:

Zorg dat je thuisnetwerk beveiligd is

Dat betekent dat je de standaard gebruikersnamen en wachtwoorden van je router thuis en van alle aangesloten apparaten moet veranderen en dat je sterke wachtwoorden moet gebruiken. Een sterk wachtwoord is niet gemakkelijk te raden en bevat minimaal 12 tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. De complete handleiding van Kaspersky voor het instellen van een veilig thuisnetwerk lees je hier.

Wees voorzichtig als je openbare wifi gebruikt

Voer geen transacties, zoals winkelen of internetbankieren, uit op onbeveiligde openbare wifi-netwerken. Als je een openbare hotspot moet gebruiken, doe dat dan zo veilig mogelijk met een VPN, oftewel een virtual private network. Een VPN versleutelt je internetverbinding en beveiligt zo de persoonlijke gegevens die je verzendt en ontvangt.

Bezoek alleen HTTPS-websites

Niet alle websites versleutelen gegevens. Websites zonder up-to-date SSL-certificaat zijn kwetsbaarder voor aanvallen. Websites met een URL die begint met HTTP in plaats van HTTPS zijn niet beveiligd. Je loopt dus een risico als je gevoelige informatie invoert op zo'n site. Zorg dat je HTTPS-websites gebruikt en kijk of je het pictogram van een hangslot in de URL-adresbalk ziet.

Wees op je hoede voor pogingen tot phishing

Pas op voor phishing-e-mails van aanvallers die je vragen je wachtwoord, andere aanmeldingsgegevens of je betaalkaartgegevens bij te werken. Phishing-e-mails zijn zo ontworpen dat ze van gerenommeerde organisaties lijken te komen, maar zijn in feite verzonden door scammers. Klik niet op koppelingen in en open geen bijlagen bij phishing-e-mails.

Gebruik een betrouwbaar antivirusprogramma

De beste manier om online veilig te blijven is het gebruik van een goed antivirusprogramma dat je beschermt tegen hackers, virussen, malware en de nieuwste online dreigingen. Het is ook van essentieel belang dat je software up-to-date is en dus over de meest recente beveiligingsfuncties beschikt.

Aanbevolen producten

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Ook interessant

• Je IP-adres verbergen
• Wat is DNS-spoofing en hoe voorkom je dit?
• Wat is spoofing van telefoonnummers?
• Wat is gegevensprivacy?