Commenti
- possibile duplicato di Quali rischi per la sicurezza comporta lo spoofing IP?
- @Xander I don ' Non credo che la mia domanda abbia una risposta nella domanda collegata.
- Ecco ' una discussione su Stackoverflow che potrebbe interessarti, forse potresti dare unocchiata qui
- @Caffeine spoofer.cmand.org//summary.php sembra interessante, grazie. La maggior parte delle risposte che vedo parla del problema di ottenere traffico bidirezionale. Ma non ' non vedo come si possa persino far funzionare il traffico unidirezionale (ad esempio per eseguire un attacco DOS).
Risposta
In realtà, non puoi “t. Ogni volta che hai bisogno che il traffico IP sia bidirezionale , lo spoofing IP è inutile. Il server contattato non lo farebbe rispondi a te ma a qualcun altro, lindirizzo che hai falsificato.
Lo spoofing IP è quindi normalmente “utile” solo per interrompere le comunicazioni: invii pacchetti dannosi e non vuoi che siano riconducibili a te stesso.
In situazioni specifiche puoi utilizzare un doppio spoofing per raccogliere una misura di bidirezionalità. Ad esempio, supponiamo di conoscere un sistema da qualche parte che ha generatori di sequenze scadenti: ogni volta che gli invii un pacchetto, esso risponderà con un pacchetto contenente un numero crescente in modo monotono. Se nessuno si connette al sistema tranne te, ti aspetteresti di ottenere 1, 2, 3, 4 ….
Supponiamo ora che tu sia interessato a sapere se un altro sta rispondendo a pacchetti specifici (es. stai eseguendo una scansione delle porte) e desideri ricevere alcune informazioni ma non vuoi che il sistema di destinazione abbia il tuo indirizzo reale. Puoi inviare a quel sistema un pacchetto contraffatto che finge di provenire dalla macchina che sequenzia male.
Ora ci sono tre possibilità: il sistema di destinazione non risponde, risponde, o contrattacca attivamente e (ad esempio) scansiona il presunto source per determinare il motivo e il percome di quel primo pacchetto.
Quello che fai è scansionare – senza spoofing – la macchina con sequenze scadenti (PSM). Se nessuno tranne te si è connesso, il che significa che la macchina di destinazione non ha risposto al PSM, otterrai 1-2-3-4-5. Se ha risposto una volta , otterrà 1-3-5-7 (i pacchetti 2, 4 e 6 sono stati inviati da PSM alla TM in risposta alle risposte TM-PSM ai pacchetti falsificati da te alla TM. Se la TM effettua più connessioni, otterrai qualcosa come 2-11-17-31 o simile.
Il PSM conosce il tuo vero indirizzo, ovviamente, ma la TM no. In questo modo puoi falsificare una connessione e raccogliere ancora alcune informazioni. Se il livello di sicurezza del PSM è abbastanza basso, questo, combinato con il fatto che la tua “scansione” del PSM è innocua, è (si spera) sufficiente per evitare conseguenze per te.
Unaltra possibilità è lo spoofing di una macchina vicina. Ad esempio, sei nella rete 192.168.168.0/24, hai IP 192.168.168.192 e hai accesso promiscuo a qualche altro spazio di indirizzi della macchina, ad esempio 192.168.168.168. Devi solo “convincere” il router che serve sia te che la macchina .168 che sei davvero la macchina .168 , e mettere questultima offline o interromperne le comunicazioni (o aspettare che sia offline per ragioni proprie, ad esempio un collega che si disconnette per il pranzo). Quindi le risposte ai pacchetti .168 falsificati ti sorpasseranno, ma fintanto che puoi annusarli mentre passano, e il vero .168 non è in grado di inviare un “Non ero io!” rispondi, dallesterno la comunicazione sembrerà valida e rimandiamo alla macchina .168.
Questo è un po come fingere di essere il tuo vicino di casa, mentre quellappartamento è davvero non affittato. Ordinate qualcosa tramite posta, il pacchetto viene consegnato alla porta di casa dellaltro, dite al fattorino “Oh sì, signor. Smith tornerà tra mezzora, “firmerò solo per lui” e riceverò il pacco.
Commenti
- Grazie ma anche quando non ' non è necessario che il traffico sia bidirezionale. Non ' lo capisco. Hai vinto ' t i router in Spagna semplicemente rifiutano il traffico che sembra provenire da un indirizzo IP messicano?
- Ho notato che la domanda collegata dice " molti router sono configurati per eliminare il traffico con un IP sorgente ovviamente sbagliato." Quindi lo spoofing IP si basa su router configurati in modo errato?
- Sì, ma molti router non eseguono i cosiddetti " filtro in uscita ". Probabilmente lhardware più moderno lo farà, dal momento che la memoria, la potenza di calcolo e la larghezza di banda degli aggiornamenti sono più economici oggi rispetto ai tempi, ma gran parte di Internet funziona ancora su " vintage ", più di " mal configurato ", hardware. Gli spoofer IP sono una minoranza e controllare tutto il traffico per affrontarlo spesso non è abbastanza conveniente per molti ISP e operatori.
Risposta
Dì che voglio scrivere una lettera a un amico in Cina. Sul retro della busta scrivo il mio indirizzo di casa, che è in Australia. Se invio la lettera mentre sono in vacanza in Egitto, ti aspetteresti che il servizio postale la butti nella spazzatura, perché lindirizzo del mittente potrebbe essere falsificato?
Diciamo che sono in Spagna, posso in qualche modo connettermi a un server negli Stati Uniti con un indirizzo IP assegnato al Messico? I router non si rifiutano semplicemente di inoltrare il mio traffico?
No, non lo faranno. Per quanto riguarda il router, questo è solo un altro pacchetto legittimo destinato agli Stati Uniti. Il traffico viene instradato su Internet in modo abbastanza semplice. Nessun gruppo controlla lintero percorso o dovrebbe nemmeno esserne a conoscenza. I router fanno poco più di fantasiosi segnali stradali. “Nord America? Non qui. Svolta a sinistra e chiedi di nuovo al prossimo incrocio. “
A unispezione più attenta, un router in Spagna potrebbe ritenere sospetto di aver ricevuto dati dal Messico agli Stati Uniti, ma indagare sarebbe uno spreco di risorse . Ogni router continua semplicemente a puntare nella direzione generale della destinazione. Alla fine, il pacchetto dovrebbe arrivare. A meno che, naturalmente, il router non sia configurato nel modo in cui ti aspetti; rifiuta del tutto il pacchetto. Questo è certamente possibile, ma non molto utile a nessuno. Il router potrebbe anche fare il suo lavoro e farla finita.
Commenti
- Lanalogia delle vacanze è difettosa. Sebbene la maggior parte dei router non abbia un modo pratico per controllare, i router che servono solo reti conosciute lo fanno . Ad esempio il mio ISP assegnerà 192.168.x.y ai suoi clienti: non si aspetterà alcun pacchetto in arrivo dal downlink tranne quelli originati dai suoi clienti con quegli indirizzi.