Kommentarer
- mulig duplikat av Hvilken sikkerhetsrisiko medfører IP-spoofing?
- @Xander Jeg tror ikke ' Jeg tror ikke at spørsmålet mitt blir besvart i det tilknyttede spørsmålet.
- Der ' en diskusjon om Stackoverflow som du vil være interessant for deg, kanskje du kan ta en titt her
- @Caffeine spoofer.cmand.org//summary.php ser interessant ut, takk. De fleste svarene jeg ser snakker om problemet med å få toveis trafikk. Men jeg ser ikke ' hvordan du til og med kan få enveis trafikk til å fungere (for eksempel å gjøre et DOS-angrep).
Svar
Egentlig kan du ikke «t. Når du trenger IP-trafikk for å være toveis , er IP-spoofing ikke til nytte. Den kontaktede serveren ville ikke svar til deg men til noen andre, adressen du spoofed.
IP-spoofing er da normalt «nyttig» bare for å forstyrre kommunikasjonen – du sender skadelige pakker, og du don t vil at de skal kunne spores til deg selv.
I spesifikke situasjoner kan du bruke en dobbel spoofing for å samle et mål på toveis. La oss for eksempel anta at vi vet om et system et sted som har dårlige sekvensgeneratorer – hver gang du sender en pakke til det, vil det svare med en pakke som inneholder et monotontrinnende nummer. Hvis ingen koblet til systemet bortsett fra deg, ville du forvente å få 1, 2, 3, 4 …
La oss nå anta at du er interessert i om en annen systemet svarer på spesifikke pakker (for eksempel kjører du en portskanning), og du vil motta litt informasjon, men ikke ønsker at målsystemet skal ha din virkelige adresse. Du kan sende til det systemet en falsk pakke som later til å være fra maskinen med dårlig sekvensering.
Nå er det tre muligheter: målsystemet svarer ikke, det svarer, eller det motvirker aktivt og (f.eks.) skanner den late kilde for å bestemme hvorfor og hvorfor hvorfor den første pakken.
Det du gjør er, du skanner – uten spoofing – maskinen med dårlig sekvensering (PSM). Hvis ingen bortsett fra deg har koblet til den, noe som betyr at målmaskinen ikke har svart PSM, vil du få 1-2-3-4-5. Hvis den svarte en gang , vil du får 1-3-5-7 (pakkene 2, 4 og 6 er sendt av PSM til TM som svar på TM-PSM svar på falske pakker fra deg til TM. Hvis TM hadde flere forbindelser, vil du få noe sånt som 2-11-17-31 eller slikt.
PSM vet selvfølgelig din virkelige adresse, men TM gjør ikke det. På denne måten kan du spoof en forbindelse og fremdeles samle litt informasjon. Hvis PSMs sikkerhetsnivå er lavt nok, er dette, kombinert med det faktum at din «skanning» av PSM er ufarlig, (forhåpentligvis) nok til å forhindre konsekvenser for deg.
En annen mulighet er å forfalske en maskin i nærheten. For eksempel er du i nettverk 192.168.168.0/24, har IP 192.168.168.192, og du har promiskuøs tilgang til et annet maskinadresseområde, si 192.168.168.168. Du må bare «overbevise» ruteren som betjener både deg og .168-maskinen om at du faktisk er .168-maskinen , og ta sistnevnte offline eller forstyrre kommunikasjonen (eller vent til den er offline for egne grunner, f.eks. en kollega som logger av til lunsj). Så svarene på de falske .168-pakkene vil liksom svi forbi deg, men så lenge du kan snuse dem mens de passerer, og den virkelige .168 er ikke i stand til å sende et «Det var ikke meg!» svar, fra utsiden ser kommunikasjonen ut til å være gyldig og peker tilbake til .168-maskinen.
Dette er som å late som om du er din nabo til inngangsdøren, mens den leiligheten virkelig er uheldig. Du bestiller noe via post, pakken blir levert til den andres inngangsdør, du sier til leveringsmannen «Å ja, hr. Smith kommer tilbake om en halv time, jeg vil bare signere for ham og få pakken.
Kommentarer
- Takk, men også når du trenger ikke ' trafikken skal være toveis. Jeg får ikke ' den. Vant ' t ruterne i Spania rett og slett avviser trafikk som ser ut til å komme fra en meksikansk IP-adresse?
- Jeg merker at det tilknyttede spørsmålet sier " mange rutere er konfigurert til å slippe trafikk med en åpenbart feil kilde-IP." Så er IP-spoofing avhengig av feilkonfigurerte rutere?
- Ja, men mange rutere utfører faktisk ikke såkalte " utgangsfiltrering ". Mer moderne maskinvare vil sannsynligvis gjøre det, siden minne, datakraft og oppdatering av båndbredde er billigere nå enn tidligere, men store deler av Internett kjører fortsatt på " vintage ", mer enn " dårlig konfigurert ", maskinvare. IP-spoofere er et mindretall, og det er ofte ikke kostnadseffektivt å sjekke all trafikken for å takle den for mange Internett-leverandører og operatører.
Svar
Si at jeg vil skrive et brev til en venn i Kina. På baksiden av konvolutten skriver jeg hjemmeadressen min, som er i Australia. Hvis jeg legger ut brevet mens jeg er på ferie i Egypt, ville du forvente at posttjenesten skulle kaste brevet mitt i søpla, fordi returadressen kan være spoofed?
La oss si at jeg er i Spania, kan jeg på en eller annen måte koble til en server i USA med en IP-adresse som er tildelt Mexico? Vil ikke ruterne bare nekte å videresende trafikken min?
Nei, de vant ikke. Når det gjelder ruteren, er dette bare en annen legitim pakke som er bestemt for USA. Trafikk dirigeres over internett på en ganske enkel måte. Ingen part kontrollerer hele ruten eller trenger ikke engang å være klar over en. Rutere gjør lite mer enn fancy skilt. «Nord-Amerika? Ikke her. Ta til venstre og spør igjen ved neste kryss. «
Ved nærmere ettersyn kan en ruter i Spania finne det mistenkelig at den mottok data fra Mexico til USA, men det ville være bortkastet ressurser å undersøke Hver router rett og slett fortsetter å peke i den generelle retningen for destinasjonen. Til slutt skal pakken ankomme. Med mindre selvfølgelig er ruteren konfigurert slik du ser ut til å forvente; den avviser pakken helt. Det er absolutt mulig, men ikke veldig nyttig for noen. Ruteren kan like godt gjøre jobben sin og være ferdig med den.
Kommentarer
- Ferien analogien er feil. Mens de fleste rutere ikke har noen praktisk måte å kontrollere, gjør det rutere som bare betjener kjente nettverk. For eksempel vil ISP-en min tildele 192.168.x.y til sine kunder: den vil forvente at det ikke kommer noen pakker fra nedlinken bortsett fra de som kommer fra kundene sine med disse adressene.