Falsificarea IP

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 14 martie 2015; verificările necesită 15 modificări .

Falsificarea IP (din limba engleză  spoof  - hoax) -

  1. Tip de atac de hacker , care constă în folosirea adresei IP sursă a altcuiva pentru a înșela sistemul de securitate.
  2. O metodă folosită în unele atacuri. Constă în modificarea câmpului „adresa expeditorului” al pachetului IP . Este folosit pentru a ascunde adresa adevărată a atacatorului, pentru a trimite un pachet de răspuns la adresa dorită și în alte scopuri.

Descriere

Pentru un atacator, principiul de bază al atacului este să-și falsifice propriile antete de pachete IP, în care, printre altele, este schimbată adresa IP sursă. Un atac de falsificare IP este adesea denumit „spoofing oarbă” [1] . Acest lucru se datorează faptului că răspunsurile la pachetele falsificate nu pot ajunge la mașina crackerului, deoarece adresa de ieșire a fost schimbată. Cu toate acestea, există încă două metode pentru a obține răspunsuri:

  1. Rutare sursă ( en:Source routing ): IP are o caracteristică de rutare sursă care vă permite să specificați o rută pentru pachetele de răspuns. Această rută este un set de adrese IP ale routerelor prin care pachetul trebuie să călătorească. Pentru un cracker, este suficient să oferiți o rută pentru pachete către un router pe care îl controlează. În zilele noastre, cele mai multe implementări ale stivei de protocol TCP/IP resping pachetele direcționate la sursă;
  2. Redirecționare: dacă un router folosește protocolul RIP , atunci tabelele sale pot fi modificate trimițându-i pachete RIP cu informații despre rută nouă. Cu ajutorul acestuia, crackerul realizează direcția pachetelor către routerul aflat sub controlul său.

Aplicarea unui atac

Protocolul de transport (4) TCP are un mecanism încorporat pentru a preveni falsificarea - așa-numitul număr de secvență și confirmare (număr de secvență, număr de confirmare) [1] . Protocolul UDP nu are un astfel de mecanism, prin urmare aplicațiile construite pe deasupra sunt mai vulnerabile la falsificare .

Luați în considerare stabilirea unei conexiuni TCP ( strângere de mână triplă ):

  1. clientul trimite un pachet TCP cu steag-ul SYN setat , alege și ISNc (Client's Initial Sequence Number, Sequence Number ).
  2. serverul crește ISNc și îl trimite înapoi împreună cu ISN-urile sale (numărul de secvență inițial al serverului, numărul de confirmare ) și steagurile SYN+ACK .
  3. clientul răspunde cu un ACK care conține ISN-uri plus unu.

Folosind IP-spoofing, crackerul nu va putea vedea ISN-urile, deoarece nu va primi un răspuns de la server. Are nevoie de ISN-uri în a treia etapă, când va trebui să-l mărească cu 1 și să-l trimită. Pentru a stabili o conexiune în numele IP-ului altcuiva, atacatorul trebuie să ghicească ISN-urile. În sistemele de operare mai vechi (OS) era foarte ușor să ghiciți ISN-ul - creștea cu câte unul cu fiecare conexiune. Sistemele de operare moderne folosesc un mecanism care împiedică ghicitul ISN.

SYN flod

Un tip de atac DoS . Un atacator trimite cereri SYN către un server la distanță, înlocuind adresa expeditorului. Răspunsul SYN+ACK este trimis la o adresă inexistentă, ca urmare, așa-numitele conexiuni semideschise apar în coada de conexiune, în așteptarea confirmării din partea clientului. După un anumit timeout, aceste conexiuni sunt întrerupte. Atacul se bazează pe vulnerabilitatea de limitare a resurselor sistemului de operare pentru conexiunile semideschise, descrisă în 1996 de grupul CERT , conform căreia coada pentru astfel de conexiuni era foarte scurtă (de exemplu, Solaris nu permitea mai mult de opt conexiuni) și timeout-ul de conectare a fost destul de lung (conform RFC 1122  - 3 minute).

Amplificare DNS [2]

Un alt tip de atac DoS. Calculatorul atacator trimite cereri către serverul DNS , specificând în pachetul transmis, în câmpul adresa IP sursă, adresa IP a computerului atacat. Răspunsul serverului DNS depășește volumul cererii de câteva zeci de ori, ceea ce crește probabilitatea unui atac DoS de succes.

Deturnarea TCP

Singurii identificatori prin care o gazdă finală poate distinge între abonații TCP și conexiunile TCP sunt câmpurile Număr de secvență și Număr de confirmare. Cunoscând aceste câmpuri și folosind înlocuirea adresei IP sursă a pachetului cu adresa IP a unuia dintre abonați, atacatorul poate introduce orice date care vor duce la o deconectare, o stare de eroare sau poate îndeplini vreo funcție în beneficiul atacatorul. Este posibil ca victima să nu observe aceste manipulări.

Autentificare bazată pe IP

Acest tip de atac este cel mai eficient acolo unde există o relație de încredere între mașini. De exemplu, în unele rețele corporative, sistemele interne au încredere unul în celălalt, iar utilizatorii se pot conecta fără un nume de utilizator sau o parolă, atâta timp cât mașina utilizatorului se află în aceeași rețea locală. Prin falsificarea unei conexiuni de la o mașină de încredere, un atacator poate obține acces la mașina țintă fără autentificare. Un exemplu celebru de atac de succes este că Kevin Mitnick l-a folosit împotriva mașinii lui Tsutomu Shimomura în 1994 ( Atacul Mitnick ).

Protecție IP spoofing

Cea mai simplă modalitate de a verifica dacă un pachet suspect a venit de la expeditorul potrivit este să trimiteți pachetul la IP-ul expeditorului. De obicei, se folosește un IP aleatoriu pentru falsificarea IP și este probabil să nu vină niciun răspuns. Dacă se întâmplă, este logic să comparați câmpul TTL ( Time to live ) al pachetelor primite. Dacă câmpurile nu se potrivesc, pachetele provin din surse diferite.

La nivel de rețea, atacul este parțial împiedicat de un filtru de pachete pe gateway. Trebuie configurat în așa fel încât să nu permită pachete care vin prin acele interfețe de rețea de unde nu puteau veni. De exemplu, filtrarea pachetelor dintr-o rețea externă cu o adresă sursă în interiorul rețelei.

Una dintre cele mai fiabile metode de protecție împotriva falsificării adresei IP este să potriviți adresa MAC ( cadru Ethernet ) și adresa IP ( antetul protocolului IP ) ale expeditorului. De exemplu, dacă un pachet cu o adresă IP din rețeaua internă are o adresă MAC gateway, acest pachet ar trebui să fie aruncat. În dispozitivele moderne de rețea, schimbarea adresei MAC (adresa fizică) nu este o problemă.

Servicii vulnerabile la atac

  1. RPC ( apel de procedură la distanță )
  2. Orice serviciu care utilizează autentificarea adresei IP
  3. Sistemul X Window
  4. r-services ( en: rcp , rlogin , en: rsh , etc.)

Note

  1. 1 2 IP Spoofing: O Introducere  (ing.)  (link nu este disponibil) . Symantec.com. Arhivat din original pe 11 iunie 2013.
  2. Atacurile de amplificare DNS . SecuriTeam. Consultat la 15 decembrie 2014. Arhivat din original pe 16 decembrie 2014.  (Engleză)

Link -uri