Главная страница » Глоссарий
0
сейчас

IPfuscation (обфускация IP-адресов)

IPfuscation (обфускация IP-адресов) - это техника маскировки или преобразования IP-адресов в альтернативные форматы, чтобы сделать их менее заметными для систем обнаружения, фильтрации или анализа трафика, но при этом сохранить их функциональность для сетевых устройств и приложений.

Содержание
  1. Ключевые цели IPfuscation
  2. Основные методы IPfuscation
  3. Примеры работы
  4. Почему это работает?
  5. Риски и проблемы
  6. Защита

Ключевые цели IPfuscation

  • Сокрытие атак: Усложнение анализа вредоносного трафика для систем безопасности (IDS/IPS).
  • Тестирование на проникновение: Проверка устойчивости сетевой инфраструктуры к нестандартным форматам данных.
  • Обход блокировок: Сокрытие IP-адресов от систем DPI (Deep Packet Inspection), файрволов или геоблокировок.
  • Конфиденциальность: Снижение риска отслеживания пользовательской активности.

Основные методы IPfuscation

Преобразование в другие системы счисления

IPv4-адрес 192.168.1.1 можно представить как

  • Десятичное целое: 3232235777
  • Шестнадцатеричное: 0xC0A80101
  • Восьмеричное: 0300.0250.0001.0001

Пример URL: http://3232235777 вместо http://192.168.1.1.

Использование IPv6-нотации для IPv4

192.168.1.1 -> ::FFFF:192.168.1.1 (IPv4-mapped IPv6 address).

Разделение адреса на части

192.168.1.1 -> 192.168.278 (т.к. 256*1 + 1 = 257 → но тут ошибка в расчетах, правильно: 256*1 + 1 = 257, но в примере часто используют 192.168.257).

Более корректно: 192.168.0x0101 (hex).

Создание поддоменов

Создание поддоменов, эквивалентных IP: 1.1.168.192.example.com -> разрешается в 192.168.1.1.

URL-кодирование и Unicode:

Замена точек на Unicode-аналоги: 192․168․1․1 (используется символ U+2024 "․" вместо точки U+002E).

Примеры работы

Оригинальный IP: 142.250.185.206 (Google).

Варианты обфускации:

  • Десятичный: http://2395588302
  • Шестнадцатеричный: http://0x8EFA8BCE
  • Смешанный: 142.0xFA.185.206
  • IPv6: http://[::ffff:8efa:8bce]

Почему это работает?

Многие сетевые библиотеки (например, в Python, C++) и браузеры автоматически преобразуют такие форматы в валидные IP-адреса, но системы безопасности могут не распознать их как угрозу из-за нестандартного вида.

Риски и проблемы

  • Используется в фишинге, вредоносном ПО и сканерах уязвимостей.
  • Усложняет расследование киберинцидентов.
  • Нарушает политики безопасности предприятий.

Защита

  • Нормализация трафика (приведение всех IP к каноническому виду).
  • Анализ не только текстовых представлений, но и бинарных данных.
  • Обновление IDS/IPS для детектирования обфусцированных форматов.

IPfuscation - это не шифрование, а маскировка IP-адреса через легитимные, но неочевидные форматы записи, эксплуатирующая гибкость парсеров и слабости систем мониторинга.

Похожие записи
0
13 минут
Индикаторы компрометации

Operation Endgame: как закрытие AvCheck заставило киберпреступников искать новые платформы для тестирования вредоносного ПО

information security
Недавние действия правоохранительных органов в рамках международной операции Endgame привели к закрытию платформы avcheck[.]net, которую активно использовали киберпреступники для проверки скрытности своего вредоносного ПО перед атаками.
0
27 минут
Индикаторы компрометации

Мошенники создали фальшивый сайт WWDC25 с раздачей криптовалюты

information security
В сети обнаружен мошеннический сайт wwdc25[.]com, зарегистрированный 7 июня 2025 года, который выдает себя за официальное мероприятие WWDC25 - ежегодную конференцию разработчиков Apple.
0
15 часов
Индикаторы компрометации

Эксперты RED Security SOC раскрыли детали массовой атаки на сайты на базе Bitrix через уязвимый модуль

information security
Недавно появились сообщения о массовых взломах сайтов на платформе Bitrix, связанных с уязвимостями в модулях от eSolutions и «Маяк». Аналитики RED Security SOC также зафиксировали подобные атаки и подробно разобрали их механизм.