Komentáře
- možný duplikát Jaká bezpečnostní rizika přináší IP spoofing?
- @Xander Nemyslím si ' že moje otázka je zodpovězena v propojené otázce.
- Tam ' diskuse o Stackoverflow, která by pro vás byla zajímavá, možná se můžete podívat zde
- @Caffeine spoofer.cmand.org//summary.php vypadá zajímavě, děkuji. Většina odpovědí, které vidím, hovoří o problému získávání obousměrného provozu. Ale nechápu ', jak můžete dokonce dosáhnout jednosměrného provozu (například pro útok na DOS).
Odpověď
Ve skutečnosti můžete „t. Kdykoli potřebujete, aby byl provoz IP obousměrný , IP spoofing je k ničemu. Kontaktovaný server by ne Odpovězte vám , ale někomu jinému, na adresu, kterou jste falešně provedli.
IP spoofing je pak obvykle „užitečný“ pouze k přerušení komunikace – odesíláte škodlivé pakety a vy chcete, aby byli sledovatelní sami k sobě.
V konkrétních situacích můžete pomocí dvojitého spoofingu získat míru obousměrnosti. Předpokládejme například, že víme o systému někde, který má špatné generátory sekvence – kdykoli mu pošlete paket, odpoví paketem obsahujícím monotónně se zvyšující číslo. Pokud se k systému nepřipojil nikdo kromě vás, očekávali byste, že získáte 1, 2, 3, 4 ….
Nyní si dovolte předpokládat, že vás zajímá, zda další systém odpovídá na konkrétní pakety (např. spouštíte skenování portů) a vy si přejete dostávat nějaké informace, ale nechcete, aby cílový systém měl vaši skutečnou adresu. Můžete odeslat do tohoto systému falešný paket, který předstírá, že je ze stroje se špatnou sekvencí.
Nyní existují tři možnosti: cílový systém neodpovídá, odpovídá, nebo aktivně protiútoky a (např.) skenuje předstíraný zdroj k určení příčin prvního balíku a proč.
To, co děláte, je skenování – bez spoofingu – stroj se špatnou sekvencí (PSM). Pokud se k němu nikdo kromě vás nepřipojil, což znamená, že cílový počítač neodpověděl na PSM, dostanete 1-2-3-4-5. Pokud odpověděl jednou , dostane 1-3-5-7 (pakety 2, 4 a 6 byly odeslány PSM pro TM v reakci na TM-PSM odpovědi na spoofed pakety od vás do TM. Pokud TM provedla více připojení, dostanete něco jako 2-11-17-31 nebo tak.
PSM samozřejmě zná vaši skutečnou adresu, ale TM ne. Tímto způsobem můžete zfalšovat spojení a stále shromažďovat nějaké informace. Pokud je úroveň zabezpečení systému PSM dostatečně nízká, v kombinaci se skutečností, že váš „sken“ systému PSM je neškodný, je (doufejme) dost, aby se zabránilo následkům pro vás.
Další možností je spoofovat nedaleký stroj. Například jste v síti 192.168.168.0/24, máte IP 192.168.168.192 a máte promiskuitní přístup k jinému adresnímu prostoru stroje, řekněme 192.168.168.168. Musíte pouze „přesvědčit“ router, který slouží vám i stroji .168, že jste skutečně strojem .168 , a ten druhý přepnout do režimu offline nebo narušit jeho komunikaci (nebo počkat, až bude offline pro z vlastních důvodů, např. kolega odhlášení na oběd). Pak budou odpovědi na spoofed .168 pakety jaksi svištět kolem vás, ale pokud je můžete čichat, když projdou, a skutečných 0,168 není schopno poslat „To jsem nebyl já!“ Odpověď, zvnějšku se komunikace bude jevit jako platná a bude směřovat zpět na stroj .168.
Je to něco jako předstírání, že jste sousedem svých domovských dveří, zatímco ten byt je opravdu nevyžádaný. Objednáte si něco poštou, paket se doručí k předním dveřím druhých, řeknete doručovateli „Ach ano, pane. Smith se za půl hodiny vrátí, já se za něj jen podepíšu a balíček získá.
Komentáře
- Děkuji, ale i když nepotřebujete ' nepotřebovat obousměrný provoz, ' to nepochopím. Nepodařilo se ' že směrovače ve Španělsku jednoduše odmítly provoz, který zřejmě pochází z mexické adresy IP?
- Všiml jsem si, že propojená otázka říká " mnoho směrovačů je nakonfigurováno tak, aby snižovaly provoz se zjevně nesprávnou zdrojovou IP adresou." Spoléhá se tedy spoofing IP na nesprávně nakonfigurované směrovače?
- Ano, ale mnoho směrovačů neprovádí skutečně takzvaný " filtrování výstupu ". Modernější hardware pravděpodobně bude, protože paměť, výpočetní výkon a šířka pásma aktualizace jsou nyní levnější než v minulosti, ale velká část internetu stále běží na " vintage ", více než " špatně nakonfigurovaný " hardware. IP spoofery jsou menšinou a kontrola veškerého provozu, který je schopen zvládnout, není pro mnoho ISP a dopravců často dostatečně efektivní z hlediska nákladů.
Odpověď
Řekněme, že chci napsat dopis příteli v Číně. Na zadní stranu obálky napíšu adresu domů, která je v Austrálii. Pokud pošlu dopis na dovolenou v Egyptě, očekávali byste, že mi poštovní služba hodí můj dopis do koše, protože zpáteční adresa může být falešná?
Řekněme, že jsem ve Španělsku, mohu se nějak připojit k serveru v USA s IP adresou, která je přidělena Mexiku? Nebudou směrovače jednoduše odmítat předávat můj provoz?
Ne, nevyhrají. Pokud jde o router, jedná se pouze o další legitimní balíček určený pro USA. Provoz je směrován po internetu poměrně jednoduchým způsobem. Žádná strana nekontroluje celou trasu, ani by si o ní nemusela být vědoma. Směrovače dělají něco víc než vymyšlené rozcestníky. „Severní Amerika? Tady ne. Odbočte doleva a na další křižovatce se zeptejte znovu. “
Při bližším zkoumání může směrovači ve Španělsku připadat podezřelé, že přijímal data z Mexika do USA, ale bylo by to zbytečné šetření . Každý směrovač jednoduše směřuje obecným směrem k cíli. Paket by měl nakonec dorazit. Pokud ovšem není směrovač nakonfigurován tak, jak se zdá, očekáváte; paket paket zcela odmítá. To je jistě možné, ale není pro nikoho moc užitečné. Směrovač by také mohl dělat svou práci a být s ním hotový.
Komentáře
- Prázdninová analogie je chybná. Zatímco většina směrovačů nemá žádný praktický způsob kontroly, směrovače, které slouží pouze známým sítím, ano . Například můj ISP přidělí svým zákazníkům 192.168.x.y: nebude očekávat žádné pakety přicházející z downlinku kromě těch, které pocházejí od jeho zákazníků s těmito adresami.