MACやARPではDoS攻撃(フラッディング)の記事と一緒にしていましたが、IPはよく使われるため別枠にしました。
IPスプーフィング
IPスプーフィングとは攻撃者が送信するIPパケットの送信元IPアドレスを偽装する手法です。IPパケットのヘッダは容易に書き換えられるため、TCP/UDP/ICMPなどさまざまな通信で利用されます。
通常業務でもFWなどのテストを行うのにこの仕組みを利用したりします。別の機器やネットワーク、IPの振り直しなどせずに、送信元IPアドレスを変更して挙動を確認できます。
送信元の偽装や、なりすましのように悪用することが攻撃として扱われます。また、他の攻撃と組み合わせることにより、攻撃元の隠蔽や、他者になすりつける目的でも使用されます。
検知、対策
- 入り口対策、出口対策
- スイッチ、ルータの設定
- FW、EDRなどのツール
- パケットを調べて許可されているIPアドレス、逆引き可能なIPアドレスのみ通す
- HTTPS、VPNの使用
- 通信を暗号化し、盗聴、改ざんのリスクを減らす
- IPv6の使用
- 標準で対策されており、ISPでの対応もある
- 完全に防ぐわけではない
IPA試験でも、他の攻撃との関連、検知対策についての出題がされています。
正当なIPスプーフィングとして、動作検証などにはScapyなどのツールが用いられます。