Falsificarea IP (din limba engleză spoof - hoax) -
Pentru un atacator, principiul de bază al atacului este să-și falsifice propriile antete de pachete IP, în care, printre altele, este schimbată adresa IP sursă. Un atac de falsificare IP este adesea denumit „spoofing oarbă” [1] . Acest lucru se datorează faptului că răspunsurile la pachetele falsificate nu pot ajunge la mașina crackerului, deoarece adresa de ieșire a fost schimbată. Cu toate acestea, există încă două metode pentru a obține răspunsuri:
Protocolul de transport (4) TCP are un mecanism încorporat pentru a preveni falsificarea - așa-numitul număr de secvență și confirmare (număr de secvență, număr de confirmare) [1] . Protocolul UDP nu are un astfel de mecanism, prin urmare aplicațiile construite pe deasupra sunt mai vulnerabile la falsificare .
Luați în considerare stabilirea unei conexiuni TCP ( strângere de mână triplă ):
Folosind IP-spoofing, crackerul nu va putea vedea ISN-urile, deoarece nu va primi un răspuns de la server. Are nevoie de ISN-uri în a treia etapă, când va trebui să-l mărească cu 1 și să-l trimită. Pentru a stabili o conexiune în numele IP-ului altcuiva, atacatorul trebuie să ghicească ISN-urile. În sistemele de operare mai vechi (OS) era foarte ușor să ghiciți ISN-ul - creștea cu câte unul cu fiecare conexiune. Sistemele de operare moderne folosesc un mecanism care împiedică ghicitul ISN.
Un tip de atac DoS . Un atacator trimite cereri SYN către un server la distanță, înlocuind adresa expeditorului. Răspunsul SYN+ACK este trimis la o adresă inexistentă, ca urmare, așa-numitele conexiuni semideschise apar în coada de conexiune, în așteptarea confirmării din partea clientului. După un anumit timeout, aceste conexiuni sunt întrerupte. Atacul se bazează pe vulnerabilitatea de limitare a resurselor sistemului de operare pentru conexiunile semideschise, descrisă în 1996 de grupul CERT , conform căreia coada pentru astfel de conexiuni era foarte scurtă (de exemplu, Solaris nu permitea mai mult de opt conexiuni) și timeout-ul de conectare a fost destul de lung (conform RFC 1122 - 3 minute).
Un alt tip de atac DoS. Calculatorul atacator trimite cereri către serverul DNS , specificând în pachetul transmis, în câmpul adresa IP sursă, adresa IP a computerului atacat. Răspunsul serverului DNS depășește volumul cererii de câteva zeci de ori, ceea ce crește probabilitatea unui atac DoS de succes.
Singurii identificatori prin care o gazdă finală poate distinge între abonații TCP și conexiunile TCP sunt câmpurile Număr de secvență și Număr de confirmare. Cunoscând aceste câmpuri și folosind înlocuirea adresei IP sursă a pachetului cu adresa IP a unuia dintre abonați, atacatorul poate introduce orice date care vor duce la o deconectare, o stare de eroare sau poate îndeplini vreo funcție în beneficiul atacatorul. Este posibil ca victima să nu observe aceste manipulări.
Acest tip de atac este cel mai eficient acolo unde există o relație de încredere între mașini. De exemplu, în unele rețele corporative, sistemele interne au încredere unul în celălalt, iar utilizatorii se pot conecta fără un nume de utilizator sau o parolă, atâta timp cât mașina utilizatorului se află în aceeași rețea locală. Prin falsificarea unei conexiuni de la o mașină de încredere, un atacator poate obține acces la mașina țintă fără autentificare. Un exemplu celebru de atac de succes este că Kevin Mitnick l-a folosit împotriva mașinii lui Tsutomu Shimomura în 1994 ( Atacul Mitnick ).
Cea mai simplă modalitate de a verifica dacă un pachet suspect a venit de la expeditorul potrivit este să trimiteți pachetul la IP-ul expeditorului. De obicei, se folosește un IP aleatoriu pentru falsificarea IP și este probabil să nu vină niciun răspuns. Dacă se întâmplă, este logic să comparați câmpul TTL ( Time to live ) al pachetelor primite. Dacă câmpurile nu se potrivesc, pachetele provin din surse diferite.
La nivel de rețea, atacul este parțial împiedicat de un filtru de pachete pe gateway. Trebuie configurat în așa fel încât să nu permită pachete care vin prin acele interfețe de rețea de unde nu puteau veni. De exemplu, filtrarea pachetelor dintr-o rețea externă cu o adresă sursă în interiorul rețelei.
Una dintre cele mai fiabile metode de protecție împotriva falsificării adresei IP este să potriviți adresa MAC ( cadru Ethernet ) și adresa IP ( antetul protocolului IP ) ale expeditorului. De exemplu, dacă un pachet cu o adresă IP din rețeaua internă are o adresă MAC gateway, acest pachet ar trebui să fie aruncat. În dispozitivele moderne de rețea, schimbarea adresei MAC (adresa fizică) nu este o problemă.