Wat is IP spoofing en hoe kun je jezelf beschermen?

Wat is IP spoofing?

IP spoofing houdt in dat hackers een pakket zo aanpassen, dat het originele IP-adres wordt vervangen met een nepadres. Meestal lijkt het dan net alsof het verkeer van een legitiem adres afkomstig is. Hackers kunnen het ook de andere kant op laten werken en de ontvanger zijn of haar IP maskeren. Hoe kan dat nu mogelijk zijn? Is het goochelarij?

Weet allereerst dat je IP-adres altijd opgevraagd kan worden. Dat kun je zelf ook, bijvoorbeeld via ‘Wat is mijn IP?’

Het dataverkeer op het internet wordt verdeeld over pakketjes die kunnen zenden en ontvangen. Ze worden allemaal individueel verstuurd en worden samengevoegd op de bestemming: het toestel van de ontvanger of de servers van een website, bijvoorbeeld. Ieder pakket dat je verstuurt, heeft een zogenaamde ‘IP-header’. Daar staat in waar het pakket vandaan komt en bij wie het pakket moet aankomen. Bij een normale verbinding wordt het pakket verzonden over het zogenaamde ‘TCP/IP-protocol’.

Er zit alleen een lek in dit protocol: het moet drie keer rondgaan om informatie te kunnen synchroniseren tussen twee partijen. Dit is hoe het werkt:

1. De verzender moet een SYN-bericht naar de ontvanger sturen. Dit zet een verbinding op en helpt de twee apparaten om nummers te synchroniseren;

2. De ontvanger verstuurt een ACK-bericht, om te laten weten dat het SYN-bericht is ontvangen;

3. De verzender stuurt een SYN-ACK bericht om te laten weten dat er een veilige verbinding is.

Hoe werkt IP spoofing?

Nu je weet hoe een verbinding tot stand komt, kunnen we dieper ingaan op IP spoofing. Als we kijken naar een hele simpele manier om een spoofing aanval uit te voeren, onderschept de hacker de TCP-handshake voordat de derde stap wordt uitgevoerd. Dat is dus voordat het SEND-ACK bericht wordt uitgestuurd. In plaats van een echte melding te sturen, wordt een nep-bevestiging gestuurd, inclusief een MAC-adres en een nep-adres van de originele verzender.

De ontvanger denkt nu dat er echt een veilige verbinding tot stand is gekomen. In de realiteit is dat niet zo: alle pakketten worden naar een nep IP-adres gestuurd, waardoor het lijkt alsof er heel iemand pakketten verstuurt dan dat werkelijk het geval is.

Voor een kortere uitleg over IP spoofing kun je deze video bekijken:

Gevaren van een IP spoofer

Creatieve hackers komen steeds weer met eindeloze manieren op spoofing op een schadelijke manier in te zetten. Ze kunnen individuele gebruikers aanvallen, maar ook servers en zelfs applicaties. Dit zijn de drie meest voorkomende doelen om IP spoofing in te zetten:

1. Firewalls en IP-authenticatie omzeilen

IP spoofing wordt vooral vaak gebruikt om firewalls en dergelijke te omzeilen. Zo worden basis beveiligingsmaatregelen dus waardeloos. Zelfs al staat de aanvaller zijn of haar oorspronkelijke IP-adres op de blocklist van een firewall, dan nóg wordt het nieuwe IP doorgelaten.

Datzelfde geldt voor systemen die met zogenaamde ‘allowlists’ werken en alleen verbindingen van beveiligde IP’s toe staan. Een hacker kan een toegestaan IP-adres spoofen en zo toegang krijgen tot het netwerk. Als kwaadwillenden eenmaal binnen zijn, kunnen ze vrijelijk hun gang gaan. Dat is waarom bedrijven niet alleen op IP-authenticatie zouden moeten vertrouwen, maar ook andere manieren van beveiligen zouden moeten gebruiken.

2. Denial of service attacks

Bij Denial of Service (DoS) of Distributed Denial of Service (DDoS) aanvallen worden servers en websites offline gebracht door een overweldigend aantal frauduleuze aanvragen te doen. Deze aanvragen worden meestal gedaan door toestellen die geïnfecteerd zijn en onderdeel zijn geworden van een botnet. De eigenaren hebben meestal geen idee dat ze onderdeel zijn geworden van een leger van hackers.

Hoe dan ook: een IP spoofer kan worden gebruikt bij dit soort aanvallen. Een hacker kan miljoenen aanvragen doen voor bestanden, en gebruikt daarbij verschillende fake IP-adressen, allemaal uit naam van anderen.

3. Man in the middle aanvallen

Man in the middle aanvallen zijn de meest voorkomende aanvallen op locaties met onbeveiligde netwerken, zoals cafés, restaurants en vliegvelden. Als je aan het surfen bent met een onbeveiligd HTTP-adres, kan een hacker IP spoofing gebruiken om zich als jou voor te doen, of door zich voor te doen als de aanbieder van de website. Zo kunnen beide partijen voor de gek worden gehouden en kunnen hackers toegang krijgen tot alle vormen van communicatie.

Bij zo’n aanval is geen enkele data veilig, omdat de hacker vrijelijk zijn gang kan gaan en alle data kan inspecteren. Zelfs details die nutteloos lijken, kunnen helpen om in de toekomst nog eens in te breken. Een van de beste manieren om dit aan te pakken, is het gebruik van een VPN.

Is IP spoofing illegaal?

Hoewel het misschien gek klinkt: nee, IP spoofing is niet illegaal, als je er niets illegaals mee doet. Je kunt bijvoorbeeld een VPN-dienst of een proxy gebruiken om je IP-adres te veranderen, zodat je veilig het internet kunt gebruiken. Eigenaren van websites kunnen spoofers gebruiken om nepgebruikers aan te maken om hun servers te testen. Dat mag allemaal.

Wat niet mag, is zich voordoen als iemand anders en daarmee cybercrimes uitvoeren. Dat is strafbaar.

Hoe voorkom je IP spoofing?

Een IP spoofer ontdekken is bijna onmogelijk. Zelfs als je het doorkrijgt, kan het te laat zijn. Er zijn een paar handige tips om IP spoofing te voorkomen:

• Monitor je netwerk altijd;
• Gebruik sterkere manieren om jezelf te authenticeren;
• Gebruik een firewall en internet verstandig;
• Migreer websites van IPv4 naar IPv6 (maar ook op IPv6 ip spoofing is mogelijk!);
• Werk met ingress- en egress filtering;
• Gebruik Deep Packet Inspection (DPI).

Als alledaagse gebruiker kun je ook het nodige doen:

• Bezoek alleen nog maar vertrouwde HTTPS-websites: met een groen slotje, dus;
• Gebruik antivirussoftware. Dergelijke software kan je helpen als iemand het verkeer op het netwerk manipuleert. Een krachtig antivirusprogramma scant de binnenkomende pakketten en bekijkt of er schadelijke code in zit. Het is geen complete beveiliging, maar het is goed om te hebben;
• Gebruik een VPN. Zo versleutel je je gegevens en verkeer. NordVPN maakt het bijvoorbeeld heel ingewikkeld voor hackers om mee te kijken om gegevens te spoofen. Daarnaast kan de Threat Protection-functie van NordVPN je beschermen tegen schadelijke of gehackte sites.

Verbeter je cyberbeveiliging met NordVPN.