Ana içeriğe atlayın

IP yanıltması: Nasıl çalışır ve nasıl engellenebilir?

Yanıltma, bir kişinin kendisini yasal bir varlık gibi göstererek diğer bilgisayar ağlarını kandırmak için bir bilgisayar, cihaz veya ağ kullanmaya çalıştığı bir siber saldırı türüdür. Saldırganların bilgisayarlara erişip hassas verilerine ulaşmak, bilgisayarları zombilere (kötü amaçlı kullanım amacıyla ele geçirilen bilgisayarlar) dönüştürmek veya Hizmet Reddi (DoS) saldırıları başlatmak için kullandıkları araçlardan biridir. IP yanıltması, farklı yanıltma türleri arasında en yaygın olanıdır.

IP yanıltması nedir?

IP yanıltması veya IP adresi yanıltması, başka bir bilgisayar sistemi rolüne bürünmek için sahte bir kaynak IP adresi ile İnternet Protokolü (IP) paketlerinin oluşturulmasını ifade eder. IP yanıltması, siber suçluların genellikle tespit edilmeden kötü amaçlı eylemler gerçekleştirmelerine olanak tanır. Buna verilerinizin çalınması, cihazınıza kötü amaçlı yazılım yoluyla virüs bulaştırılması veya sunucunuzu çökertilmesi dâhil olabilir.

IP yanıltması nasıl çalışır?

Temel bilgilerle başlayalım: İnternet üzerinden iletilen veriler ilk önce birden fazla pakete ayrılır ve bu paketler, birbirlerinden bağımsız olarak gönderilir ve sonunda tekrardan birleştirilir. Her pakette, kaynak IP adresi ve hedef IP adresi de dâhil paket hakkında bilgiler içeren bir IP (İnternet Protokolü) başlığı vardır.

IP yanıltmasında bir bilgisayar korsanı, alıcı bilgisayar sisteminin paketin yasal bir ağdaki başka bir bilgisayar gibi güvenilir bir kaynaktan geldiğini düşünmesini ve paketi kabul etmesini sağlamak için paket başlığındaki kaynak adresini değiştirmek için çeşitli araçlar kullanır. Bu olay ağ düzeyinde gerçekleşir, bu nedenle dışarıdan bir müdahale belirtisi yoktur.

IP yanıltması, ağa bağlı bilgisayarlar arasındaki güven ilişkilerine dayanan sistemlerde IP adresi kimlik doğrulamasını atlamak için kullanılabilir. Bazen “kale ve hendek” savunması olarak anılan bu kavramda, ağın dışındakilerin tehdit olarak kabul edilirken “kale” içerisindekilerin ise güvenilir olduğu düşünülür. Bir saldırgan ağı ihlal edip içeri girdiğinde sistemi keşfetmesi çok kolaydır. Bu güvenlik açığı nedeniyle, bir savunma stratejisi olarak basit kimlik doğrulamasının kullanılmasının yerini, giderek çok adımlı kimlik doğrulaması gibi daha sağlam güvenlik yaklaşımları almaktadır.

Siber suçlular, internet ortamında dolandırıcılık ve kimlik hırsızlığı yapmak veya kurumsal web sitelerini ve sunucuları kapatmak için genellikle IP yanıltmasını kullanırken bazen yasal kullanımlar da olabilir. Örneğin kuruluşlar, web sitelerini kullanıma açmadan önce test ederken IP yanıltmasını kullanabilir. Bu, sitenin aşırı yüklenme olmadan çok sayıda kullanıcı girişini kaldırıp kaldıramayacağını görmek için web sitesini test etmek amacıyla binlerce sanal kullanıcı oluşturmayı kapsamaktadır. IP yanıltmasının bu şekilde kullanılması yasa dışı değildir.

IP yanıltması türleri

IP yanıltması saldırılarının en sık görülen üç türü şunlardır:

Dağıtılmış Hizmet Reddi (DDoS) saldırıları

Bir DDoS saldırısında korsanlar, bilgisayar sunucularına çok sayıda veri paketiyle saldırmak için sahte IP adresleri kullanırlar. Bu, korsanların kimliklerini gizlerken aynı zamanda büyük hacimli internet trafiğine sahip bir web sitesini veya ağı yavaşlatmalarına veya çökertmelerine imkân tanır.

Botnet cihazlarını gizleme

IP yanıltması, botnet’leri gizleyerek bilgisayarlara erişebilmek amacıyla kullanılabilir. Botnet, bilgisayar korsanlarının tek bir kaynaktan kontrol ettikleri bir bilgisayar ağıdır. Her bilgisayarda çalışan özel bir bot vardır ve bu bot, saldırganın adına kötü amaçlı faaliyetler gerçekleştirir. Ağdaki her botta yanıltıcı bir IP adresi olduğundan IP yanıltması saldırganın botnet’i gizlemesini sağlar ve bu sayede kötü amaçlı aktörün izlenmesini zor bir hâl alır. Bu, saldırının etkisini en üst düzeye çıkarmak için süresini uzatabilir.

İşlemlere müdahale etmeye yönelik saldırılar

Başka bir kötü amaçlı IP yanıltması yöntemi de iki bilgisayar arasındaki iletişimi kesmek, paketleri değiştirmek ve orijinal gönderici veya alıcının bilgisi olmadan bunları iletmek için “işlemlere müdahale etmeye yönelik” saldırıyı kullanır. Saldırganlar bir IP adresini taklit ederlerse ve kişisel iletişim hesaplarına erişirlerse herhangi bir açıdan ilgili iletişimin izini sürebilirler. O noktadan itibaren bilgi çalmak, kullanıcıları sahte web sitelerine yönlendirmek ve çok daha fazlasını yapmak mümkündür. Zamanla korsanlar, kullanabilecekleri veya satabilecekleri çok sayıda gizli bilgi toplarlar; bu, işlemlere müdahale etmeye yönelik saldırılarının saldırganlar için diğerlerinden daha kârlı olabileceği anlamına gelmektedir.

IP yanıltması örnekleri

IP yanıltması saldırısının en sık alıntılanan örneklerinden biri 2018’deki GitHub DDoS saldırısıdır. Bir kod barındırma platformu olan GitHub, Şubat 2018’de gelmiş geçmiş en büyük DDoS saldırısı olduğuna inanılan bir saldırı ile karşı karşıya kaldı. Saldırganlar, GitHub’ın IP adresini son derece planlı bir şekilde taklit ederek platformu yaklaşık 20 dakika boyunca erişime kapattılar. GitHub, kötü amaçlı tarafları engellemek için bir aracı iş ortağı yoluyla trafiği yeniden yönlendirerek ve verileri temizleyerek kontrolü yeniden ele geçirdi.

Bu konuda daha eski bir örnek ise 2015 yılında, Europol’ün bütün kıta genelinde bir işlemlere müdahale etmeye yönelik saldırıyı etkisiz hâle getirmesiydi. Saldırı sırasında bilgisayar korsanları, işletmeler ve müşterileri arasındaki ödeme taleplerine engel olmaya çalıştılar. Saldırganlar, kuruluşların kurumsal e-posta hesaplarına sahte bir erişim elde etmek için IP yanıltması yöntemini kullandılar. Ardından müşterilerle olan konuşmaları izleyerek onlardan gelen ödeme taleplerini engellediler; böylece bu müşterileri, ödemelerini kontrolü kendilerinde olan banka hesaplarına göndermeleri için kandırabileceklerdi.

IP yanıltması, ağ yanıltmasının tek biçimi değildir; e-posta yanıltması, web sitesi yanıltması, ARP yanıltması, metin mesajı yanıltması ve daha birçoğu da dâhil olmak üzere başka türleri de mevcuttur. Kaspersky’nin farklı yanıltma türleriyle ilgili eksiksiz kılavuzunu buradan okuyabilirsiniz.

How to prevent IP address spoofing

IP yanıltması nasıl tespit edilebilir?

Son kullanıcıların IP yanıltmasını tespit etmeleri zor olduğundan bu yöntem oldukça tehlikelidir. Bunun sebebi, IP yanıltması saldırılarının ağ katmanlarında (Açık Sistem Ara Bağlantısı iletişim modelinin 3. Katman’ı) gerçekleştiriliyor olmasıdır. Bu, dışarıdan yapılan müdahalelere yönelik herhangi bir belirti olmamasına neden olur; genellikle yanıltıcı bağlantı talepleri dışarıdan yasal görünebilir.

Ancak kuruluşlar, uç noktalardaki trafiği analiz etmek için ağ izleme araçlarını kullanabilir. Paket filtreleme, bunu yapmanın en yaygın yoludur. Genellikle yönlendiricilerde ve güvenlik duvarlarında bulunan paket filtreleme sistemleri, paketin IP adresi ile erişim kontrol listelerinde (ACL’ler) ayrıntılı olarak açıklanan istenen IP adresleri arasındaki tutarsızlıkları tespit eder. Aynı zamanda sahte paketleri de tespit ederler.

Paket filtrelemenin giriş filtrelemesi ve çıkış filtrelemesi olmak üzere iki ana türü vardır:

  • Giriş filtrelemesi, kaynak IP başlığının izin verilen bir kaynak adresiyle eşleşip eşleşmediğini değerlendirmek üzere gelen paketlere bakar. Şüpheli görünen paketler reddedilir.
  • Çıkış filtrelemesi, kuruluşun ağındakilerle eşleşmeyen kaynak IP adreslerini kontrol etmek için giden paketlere bakar. Bu filtreleme, kurumun içinde IP yanıltması saldırıları başlatılmasını engellemek için tasarlanmıştır.

IP yanıltmasından nasıl korunulur?

IP yanıltması saldırıları, saldırganların gerçek kimliklerini gizleyerek tespit edilmelerini zorlaştıracak şekilde tasarlanmıştır. Ancak riski en aza indirmek için yanıltmalardan korunmaya yönelik bazı önlemler alınabilir. IP yanıltması saldırılarını en iyi şekilde engellemek sunucu tarafı ekiplerinin işi olduğundan son kullanıcılar IP yanıltmasını engelleyemezler.

BT uzmanları için IP yanıltması koruması:

IP yanıltmasından kaçınmak için kullanılan stratejilerin çoğu, BT uzmanları tarafından geliştirilmeli ve uygulanmalıdır. IP yanıltmasına karşı koruma sağlama seçeneklerine şunlar örnek olarak verilebilir:

  • Ağları alışılmadık faaliyetlere karşı izleme.
  • Tutarsızlıkları (kuruluş ağındakilerle eşleşmeyen kaynak IP adreslerine sahip giden paketler gibi) tespit etmek için paket filtreleme uygulama.
  • Güvenilir doğrulama yöntemleri kullanma (ağa bağlı bilgisayarlar arasında dahi).
  • Tüm IP adreslerinin kimliğini doğrulama ve bir ağ saldırısı engelleyicisi kullanma.
  • Bilişim kaynaklarının en azından bir kısmını bir güvenlik duvarının arkasına yerleştirme. Güvenlik duvarları, yanıltıcı IP adresleri içeren trafiği filtreleyerek, trafiği doğrulayarak ve ağın dışından gelen yetkisiz kişilerin erişimini engelleyerek ağınızın korunmasına yardımcı olur.

Web tasarımcıları, siteleri en yeni İnternet Protokolü olan IPv6’ya taşımaya teşvik edilmektedir. Bu yeni protokol, şifreleme ve kimlik doğrulama adımları ekleyerek IP yanıltmasını zorlaştırmaktadır. Dünyadaki internet trafiğinin büyük bir bölümü, hâlâ bir önceki protokol olan IPv4’ü kullanmaktadır.

Son kullanıcılar için IP yanıltması koruması:

Son kullanıcılar IP yanıltmasını engelleyemezler. Yani genel olarak siber hijyen kurallarını uygulamak çevrimiçi güvenliğinizi en üst düzeye çıkarmanıza yardımcı olacaktır. Bazı makul önlemlere örnek olarak şunlar verilebilir:

Ev ağınızın güvenli bir şekilde kurulduğundan emin olun

Bu, ev yönlendiricinizdeki ve tüm bağlı cihazlarınızdaki varsayılan kullanıcı adlarını ve parolaları değiştirmek ve güçlü parolalar kullanmak anlamına gelir. En az 12 karakter, büyük-küçük harfler, rakamlar ve simgelerden oluşan güçlü parolalar, en bariz şeylerin gözden kaçmamasını sağlar. Kaspersky’nin güvenli bir ev ağı kurmakla ilgili eksiksiz kılavuzunu buradan okuyabilirsiniz.

Herkese açık Wi-Fi kullanırken dikkatli olun

Güvenli olmayan herkese açık Wi-Fi ağlarında alışveriş veya bankacılık gibi işlemler yapmaktan uzak durun. Herkese açık erişim noktalarını kullanmanız gerekiyorsa bir sanal özel ağ veya VPN kullanarak güvenliğinizi en üst düzeye çıkarın. VPN’ler, gönderdiğiniz ve aldığınız özel verileri korumak için internet bağlantınızı şifreler.

Ziyaret ettiğiniz web sitelerinin HTTPS olduğundan emin olun

Bazı web siteler verileri şifrelemez. Güncel bir SSL sertifikasına sahip değillerse saldırılara karşı daha savunmasız olurlar. URL’si HTTPS yerine HTTP ile başlayan web siteleri güvenli değildir; bu durum, bu sitede hassas bilgiler paylaşan kullanıcılar için bir risktir. HTTPS web sitelerini kullandığınızdan emin olun ve URL adres çubuğunda kilit simgesi olup olmadığına bakın.

Kimlik hırsızlığı girişimlerine karşı dikkatli olun

Parolanızı veya diğer oturum açma kimlik bilgilerinizi ya da ödeme kartı bilgilerinizi güncellemenizi isteyen saldırganlardan gelen kimlik hırsızlığı e-postalarına karşı dikkatli olun. Kimlik hırsızlığı e-postaları, tanınmış kuruluşlardan geliyormuş gibi görünecek şekilde tasarlanmıştır fakat gerçekte dolandırıcılar tarafından gönderilmektedir. Kimlik hırsızlığı e-postalarındaki bağlantılara tıklamayın veya ekleri açmayın.

Kapsamlı bir virüsten koruma programı kullanın

İnternet ortamında güvende kalmanın en iyi yolu, sizi bilgisayar korsanlarından, virüslerden, kötü amaçlı yazılımlardan ve en güncel çevrimiçi tehditlerden korumak için yüksek kaliteli bir virüsten koruma programı kullanmaktır. En yeni güvenlik özelliklerine sahip olduğundan emin olmak için yazılımınızı güncel tutmanız da son derece önemlidir.

Önerilen ürünler

Daha fazla bilgi için

IP yanıltması: Nasıl çalışır ve nasıl engellenebilir?

IP yanıltması, bilgisayar korsanlarının bilgisayarlara yetkisiz bir şekilde erişmek için kullandıkları bir tekniktir. IP yanıltmasının nasıl çalıştığını, IP yanıltmasının nasıl tespit edileceğini ve kendinizi nasıl koruyabileceğinizi öğrenin.
Kaspersky logo