الانتحال نوع محدد من الهجمات الإلكترونية يحاول من خلالها شخص استخدام جهاز كمبيوتر أو جهاز أو شبكة اتصال لخداع شبكات الكمبيوتر الأخرى من خلال التنكر ككيان شرعي. وهي إحدى الأدوات العديدة التي يستخدمها المتسللون للوصول إلى أجهزة الكمبيوتر لاختراقها للبحث عن البيانات الحساسة، أو تحويلها إلى أدوات هجوم (الاستيلاء على أجهزة الكمبيوتر للاستخدام الضار)، أو شن هجمات حجب الخدمة (DoS). ومن بين الأنواع المختلفة للانتحال، يعد انتحال عنوان IP الأكثر شيوعًا.
ما المقصود بانتحال عنوان IP؟
يشير انتحال عنوان IP إلى إنشاء حزم بروتوكول الإنترنت (IP) باستخدام عنوان IP لمصدر خاطئ لانتحال شخصية نظام كمبيوتر آخر. ويسمح انتحال عنوان IP لمجرمي الإنترنت بتنفيذ أعمال ضارة، والتي تمر غالبًا دون اكتشافها. وقد يشمل ذلك سرقة بياناتك أو إصابة جهازك ببرامج ضارة أو تعطيل خادمك.
طريقة عمل انتحال عنوان IP
لنبدأ ببعض المعلومات الأساسية: يتم أولاً تقسيم البيانات المرسلة عبر الإنترنت إلى حزم متعددة، ويتم إرسال هذه الحزم بشكل مستقل وإعادة تجميعها في النهاية. وتحتوي كل حزمة على عنوان IP (بروتوكول الإنترنت) يحتوي على معلومات حول الحزمة، بما في ذلك عنوان IP المصدر وعنوان IP الوجهة.
يستخدم المتسلل في انتحال عنوان IP أدوات لتعديل عنوان المصدر في رأس الحزمة لجعل نظام الكمبيوتر المتلقي يعتقد أن الحزمة من مصدر موثوق، مثل كمبيوتر آخر على شبكة شرعية، ويقبلها. ويحدث هذا على مستوى الشبكة، لذلك لا توجد علامات خارجية على التلاعب.
يمكن استخدام انتحال عنوان IP في الأنظمة التي تعتمد على علاقات الثقة بين أجهزة الكمبيوتر المتصلة بالشبكة لتجاوز مصادقة عنوان IP. وهو مفهوم يشار إليه أحيانًا باسم دفاع "القلعة والخندق"، حيث يتم اعتبار العناوين خارج الشبكة بمثابة تهديدات، ويتم الوثوق بالعناوين داخل "القلعة". ويصبح من السهل استكشاف النظام، بمجرد اختراق المتسلل للشبكة ووضعه بداخلها. وبسبب هذه الثغرة الأمنية، يتم استبدال استخدام المصادقة البسيطة كاستراتيجية دفاعية بشكل متزايد بأساليب أمان أكثر قوة، مثل تلك التي تحتوي على مصادقة متعددة الخطوات.
بينما يستخدم مجرمو الإنترنت غالبًا انتحال عنوان IP لتنفيذ عمليات احتيال عبر الإنترنت وسرقة الهوية أو لإغلاق مواقع الويب والخوادم الخاصة بالشركات، قد تكون هناك أيضًا استخدامات مشروعة في بعض الأحيان. على سبيل المثال، قد تستخدم المؤسسات انتحال عنوان IP عند اختبار مواقع الويب قبل إطلاقها بشكل حي. وقد يتضمن ذلك إنشاء آلاف المستخدمين الافتراضيين لاختبار موقع الويب لمعرفة ما إذا كان بإمكان الموقع التعامل مع عدد كبير من عمليات تسجيل الدخول دون الشعور بالغمر. ويعتبر انتحال عنوان IP غير قانوني عند استخدامه بهذه الطريقة.
أنواع انتحال عنوان IP
تعتبر الأشكال الثلاثة الأكثر شيوعًا لهجمات انتحال عنوان IP هي:
هجمات حجب الخدمة الموزعة (DDoS)
في هجوم حجب الخدمة الموزعة، يستخدم المتسللون عناوين انتحال عنوان IP لإغراق خوادم الكمبيوتر بحزم البيانات. ويسمح هذا لهم بإبطاء أو تعطيل موقع ويب أو شبكة ذات أحجام حركة مرور كبيرة على الإنترنت مع إخفاء هويتهم.
إخفاء أجهزة شبكة البرامج الخبيثة (بوت نت)
يمكن استخدام انتحال عنوان IP للوصول إلى أجهزة الكمبيوتر من خلال حجب شبكات البرامج الخبيثة (بوت نت). وتتكون شبكة البرامج الخبيثة (بوت نت) من أجهزة الكمبيوتر التي يتحكم بها المخترق من مصدر واحد. ويدير كل جهاز كمبيوتر شبكة برامج خبيثة (بوت نت) مخصصة تنفذ نشاطًا ضارًا نيابة عن المهاجم. ويسمح انتحال عنوان IP للمهاجم بإخفاء شبكات البرامج الخبيثة (بوت نت) لأن كل برنامج آلي في الشبكة يمتلك عنوان IP منتحل، مما يجعل تعقب الفاعل الخبيث أمرًا صعبًا. ويمكن أن يطيل هذا مدة الهجوم لتعظيم العائد.
هجمات الوسيط
تستخدم طريقة انتحال عنوان IP ضارة أخرى هجوم "الوسيط" لاعتراض الاتصال بين جهازي كمبيوتر وتغيير الحزم وإرسالها دون علم المرسل الأصلي أو المتلقي. وإذا انتحل المهاجمون عنوان IP وحصلوا على حق الوصول إلى حسابات الاتصال الشخصي، يمكنهم بعد ذلك تتبع أي جانب من جوانب هذا الاتصال. ومن الممكن من هناك سرقة المعلومات وتوجيه المستخدمين إلى مواقع ويب زائفة، وغيرها. ويجمع المتسللون بمرور الوقت كمًا هائلاً من المعلومات السرية يمكنهم استخدامها أو بيعها - مما يعني أن هجمات الوسطاء قد تكون مربحة أكثر من غيرها.
أمثلة على انتحال عنوان IP
من بين الأمثلة الأكثر تكرارًا لهجمات انتحال عنوان IP هجوم حجب الخدمة الموزعة الذي تعرضت له GitHub في عام 2018. وGitHub عبارة عن منصة لاستضافة التعليمات البرمجية، وفي فبراير 2018، أصيبت بما يُعتقد أنه أكبر هجوم لحجب الخدمة الموزعة على الإطلاق. وانتحل المهاجمون عنوان IP الخاص بمنصة GitHub في هجوم منسق كبير لدرجة أنه أدى إلى تعطيل الخدمة لمدة 20 دقيقة تقريبًا. واستعادت GitHub السيطرة عن طريق إعادة توجيه حركة المرور من خلال شريك وسيط وتنقية البيانات لحظر الأطراف الخبيثة.
حدث مثال سابق في عام 2015 عندما أوقفت منظمة Europol هجوم وسيط شامل على مستوى القارة. وشمل الهجوم متسللين اعترضوا طلبات سداد بين الشركات وعملائهم. واستخدم المجرمون انتحال عنوان IP للحصول على وصول احتيالي إلى حسابات البريد الإلكتروني للشركات. ثم تطفلوا على الاتصالات واعترضوا طلبات السداد من العملاء - ليتمكنوا من خداع هؤلاء العملاء لإرسال مدفوعات إلى الحسابات البنكية التي يسيطرون عليها.
لا يعد انتحال عنوان IP الشكل الوحيد لانتحال شبكة الاتصال - هناك أنواع أخرى، بما في ذلك انتحال البريد الإلكتروني وانتحال مواقع الويب وانتحال بروتوكول تحليل العنوان (ARP) وانتحال الرسائل النصية وغيرها. يمكنك قراءة دليل Kaspersky الكامل للأنواع المختلفة من الانتحال هنا.
كيفية اكتشاف انتحال عنوان IP
يصعب على المستخدمين النهائيين اكتشاف انتحال عنوان IP، وهو ما يجعله خطيرًا للغاية. ويرجع السبب في ذلك إلى تنفيذ هجمات انتحال عنوان IP على طبقات الشبكة - أي الطبقة 3 من نموذج اتصالات ربط النظام المفتوح. ولا يترك هذا علامات خارجية على التلاعب - ويمكن في كثير من الأحيان، أن تبدو طلبات الاتصال المخادعة شرعية من الخارج.
على الرغم من ذلك، تستطيع المؤسسات استخدام أدوات مراقبة الشبكة لتحليل حركة المرور عند نقاط النهاية. وتعد تصفية الحزم الطريقة الأكثر شيوعًا لفعل ذلك. وتكتشف أنظمة تصفية الحزم - التي غالبًا ما تتواجد في أجهزة التوجيه وجدران الحماية – التناقضات بين عنوان IP للحزمة وعناوين IP المطلوبة المفصلة في قوائم التحكم في الوصول (ACLs). وتكتشف كذلك الحزم الاحتيالية.
يعتبر النوعان الرئيسيان لتصفية الحزم هما تصفية الدخول وتصفية الخروج:
- تبحث تصفية الدخول في الحزم الواردة لتقييم ما إذا كان عنوان IP المصدر يطابق عنوان مصدر مسموحًا به. وسيتم رفض أي حزم تبدو مشبوهة.
- تبحث تصفية الخروج في الحزم الصادرة للتحقق من عناوين IP المصدر التي لا تتطابق مع تلك الموجودة على شبكة المؤسسة. وتم تصميم هذا النوع لمنع الموظفين الداخليين من شن هجمات انتحال عنوان IP.
كيفية الحماية من انتحال عنوان IP
تم تصميم هجمات انتحال عنوان IP لإخفاء الهوية الحقيقية للمهاجمين، مما يصعب من اكتشافهم. ومع ذلك، يمكن اتخاذ بعض خطوات مكافحة الانتحال لتقليل المخاطر. ولا يستطيع المستخدمون النهائيون منع انتحال عنوان IP لأن مهمة فرق جانب الخادم هي منع انتحال عنوان IP قدر الإمكان.
الحماية ضد انتحال عنوان IP لمتخصصي تقنية المعلومات:
يجب تطوير ونشر معظم الاستراتيجيات المستخدمة لتجنب انتحال عنوان IP بواسطة متخصصي تقنية المعلومات. وتشمل خيارات الحماية من انتحال عنوان IP ما يلي:
- مراقبة شبكات الاتصال للتعرف على أي نشاط غير نمطي.
- نشر تصفية الحزم لاكتشاف التناقضات (مثل الحزم الصادرة مع عناوين IP المصدر التي لا تتطابق مع تلك الموجودة على شبكة المؤسسة).
- استخدام طرق تحقق قوية (حتى بين أجهزة الكمبيوتر المتصلة بالشبكة).
- مصادقة جميع عناوين IP واستخدام حاجب هجمات شبكة الاتصال.
- وضع جزء على الأقل من موارد الحوسبة خلف جدار حماية. وسيساعد جدار الحماية في حماية شبكتك من خلال تصفية حركة المرور باستخدام عناوين IP المنتحلة، والتحقق من حركة المرور، ومنع وصول الغرباء غير المصرح لهم.
يتم تشجيع مصممي الويب على ترحيل المواقع إلى بروتوكول IPv6، وهو أحدث بروتوكول إنترنت. ويجعل انتحال عنوان IP أكثر صعوبة من خلال تضمين خطوات التشفير والمصادقة. ولا تزال نسبة عالية من حركة الإنترنت في العالم تستخدم البروتوكول السابق، IPv4.
الحماية من انتحال عنوان IP للمستخدمين النهائيين:
لا يستطيع المستخدمون النهائيون منع انتحال عنوان IP. ومع ذلك، ستساعد ممارسة النظافة الإلكترونية في تحقيق أقصى قدر من الأمان على الإنترنت. وتشمل الاحتياطات المعقولة ما يلي:
التأكد من إعداد شبكتك المنزلية بشكل آمن
ويعني هذا تغيير أسماء المستخدمين وكلمات المرور الافتراضية على جهاز التوجيه المنزلي وجميع الأجهزة المتصلة والتأكد من استخدام كلمات مرور قوية. وتتجنب كلمة المرور القوية الاختراق وتحتوي على 12 حرفًا على الأقل ومزيجًا من الأحرف الكبيرة والصغيرة والأرقام والرموز. ويمكنك قراءة دليل Kaspersky الكامل لإعداد شبكة منزلية آمنة هنا.
اتباع إجراءات السلامة عند استخدام شبكة WI-FI عامة
تجنب إجراء معاملات مثل التسوق أو الخدمات البنكية على شبكة Wi-Fi عامة غير آمنة. وإذا كنت بحاجة إلى استخدام نقاط الاتصال العامة، احرص على زيادة سلامتك إلى أقصى حد باستخدام شبكة افتراضية خاصة أو VPN. وتشفر شبكة VPN اتصالك بالإنترنت لحماية البيانات الخاصة التي ترسلها وتستقبلها.
التأكد أن مواقع الويب التي تزورها تستخدم بروتوكول HTTPS
لا تشفر بعض مواقع الويب البيانات. وإذا لم تكن تمتلك شهادة SSL حديثة، فإنها تكون أكثر عرضة للهجمات. وتعد مواقع الويب التي يبدأ عنوانها ببروتوكول HTTP بدلاً من HTTPS غير آمنة - وهو ما يمثل مخاطرة للمستخدمين الذين يشاركون معلومات حساسة مع هذا الموقع. تأكد أنك تستخدم مواقع ويب HTTPS وابحث عن رمز القفل في شريط عنوان الموقع.
التحلي باليقظة عندما يتعلق الأمر بمحاولات الاحتيال
ينبغي أن تكون حذرًا من رسائل البريد الإلكتروني للتصيد الاحتيالي من المهاجمين الذين يطلبون منك تحديث كلمة المرور أو بيانات اعتماد تسجيل الدخول الأخرى أو بيانات بطاقة السداد. ويتم تصميم رسائل البريد الإلكتروني للتصيد الاحتيالي لتبدو وكأنها واردة من مؤسسات حسنة السمعة، لكن في الواقع، يتم إرسالها بواسطة محتالين. تجنب النقر فوق الروابط أو فتح المرفقات في رسائل البريد الإلكتروني للتصيد الاحتيالي.
استخدام تطبيق مكافحة فيروسات شامل
أفضل طريقة للبقاء آمنًا على الإنترنت هي استخدام تطبيق مكافحة فيروسات عالي الجودة لحمايتك من المتسللين والفيروسات والبرامج الضارة وأحدث التهديدات عبر الإنترنت. ومن الضروري أيضًا أن تحافظ على تحديث برنامجك لضمان تمتعه بأحدث ميزات الأمان.
المنتجات المقترحة
- Kaspersky Anti-Virus
- Kaspersky Total Security
- Kaspersky Internet Security
- Kaspersky Password Manager
- Kaspersky Secure Connection
قراءة متعمقة