Reacties
- mogelijk duplicaat van Welke beveiligingsrisicos brengt IP-spoofing met zich mee?
- @Xander Ik denk niet ' niet dat mijn vraag wordt beantwoord in de gelinkte vraag.
- Daar ' een discussie over Stackoverflow die interessant voor je zou zijn, misschien kun je hier
- @Caffeine spoofer.cmand.org//summary.php ziet er interessant uit, bedankt. De meeste antwoorden die ik zie, gaan over het probleem van het krijgen van bidirectioneel verkeer. Maar ik zie ' niet hoe je zelfs unidirectioneel verkeer aan het werk kunt krijgen (bijvoorbeeld om een DOS-aanval uit te voeren).
Antwoord
Eigenlijk kunt u “t. Wanneer u IP-verkeer bidirectioneel wilt hebben, heeft IP-spoofing geen zin. De gecontacteerde server zou dat niet doen antwoord aan jou maar aan iemand anders, het adres dat je hebt vervalst.
IP-spoofing is dan normaal alleen “nuttig” om de communicatie te verstoren – je verzendt schadelijke pakketten, en je doet het niet wil dat ze herleidbaar zijn tot uzelf.
In specifieke situaties kunt u een dubbele spoofing gebruiken om een mate van bidirectionaliteit te verzamelen. Laten we bijvoorbeeld aannemen dat we ergens een systeem kennen met slechte sequentiegeneratoren – wanneer je er een pakket naartoe stuurt, zal het antwoorden met een pakket met een monotoon oplopend getal. Als niemand verbinding zou maken met het systeem behalve jij, zou je verwachten dat je 1, 2, 3, 4 krijgt ….
Laten we nu verder aannemen dat je geïnteresseerd bent of een andere -systeem antwoordt op specifieke pakketten (u voert bijvoorbeeld een poortscan uit), en u wilt wat informatie ontvangen, maar wilt niet dat het doelsysteem uw echte adres heeft . U kunt verzenden naar dat systeem een vervalst pakket dat doet alsof het afkomstig is van de machine met slechte volgorde.
Nu zijn er drie mogelijkheden: het doelsysteem antwoordt niet, het antwoordt, of het doet actief een tegenaanval en scant (bijv.) source om de waarom “s en waarom” s van dat eerste pakket te bepalen.
Wat je doet is, je scant – zonder spoofing – de slecht-sequencerende machine (PSM). Als niemand behalve jij er verbinding mee heeft gemaakt, wat betekent dat de doelcomputer niet heeft geantwoord op de PSM, krijg je 1-2-3-4-5. Als het één keer antwoordde, krijgt 1-3-5-7 (de pakketten 2, 4 en 6 zijn verzonden door de PSM naar de TM als reactie op de TM-PSM-antwoorden op de vervalste pakketten van u naar de TM. Als de TM meer verbindingen heeft gemaakt, krijg je zoiets als 2-11-17-31 of zo.
De PSM kent natuurlijk je echte adres, maar de TM niet. Op deze manier kun je een verbinding vervalsen en toch wat informatie verzamelen. Als het beveiligingsniveau van de PSM laag genoeg is, is dit, in combinatie met het feit dat uw “scan” van de PSM onschadelijk is, (hopelijk) voldoende om gevolgen voor u te voorkomen.
Een andere mogelijkheid is om een machine in de buurt te vervalsen. U bevindt zich bijvoorbeeld in netwerk 192.168.168.0/24, hebt IP 192.168.168.192 en u hebt promiscue toegang tot een andere adresruimte van de machine, bijvoorbeeld 192.168.168.168. U hoeft alleen de router die zowel u als de .168-machine bedient, te “overtuigen” dat u inderdaad de .168-machine bent , en deze offline te halen of de communicatie te onderbreken (of te wachten tot hij offline is voor eigen redenen, bijvoorbeeld een collega die zich afmeldt voor de lunch). Dan zullen de antwoorden op de vervalste .168-pakketjes je voorbij zoeven, maar zolang je ze maar kunt ruiken terwijl ze passeren, en de echte .168 kan geen “Dat was ik niet!” antwoord, van buitenaf zal de communicatie geldig lijken en terugverwijzen naar de .168-machine.
Dit is zoiets als doen alsof je je voordeurbuur bent, terwijl dat appartement echt onbeheerd is. Je bestelt iets via de post, het pakket wordt bij de voordeur van de ander afgeleverd, je zegt tegen de bezorger “Oh ja, dhr. Smith komt over een half uur terug, ik “teken gewoon voor hem” en ontvang het pakket.
Opmerkingen
- Bedankt, maar zelfs als je hebt geen ' nodig dat het verkeer bidirectioneel is. Ik ' kan het niet krijgen. Won ' t de routers in Spanje simpelweg verkeer weigeren dat afkomstig lijkt te zijn van een Mexicaans IP-adres?
- Ik zie dat de gelinkte vraag " veel routers zijn geconfigureerd om verkeer met een duidelijk verkeerde bron-IP te laten vallen." Is IP-spoofing dus afhankelijk van onjuist geconfigureerde routers?
- Ja, maar veel routers niet voeren de zogenaamde " filtering van uitgaand verkeer ". Modernere hardware zal waarschijnlijk, aangezien geheugen, rekenkracht en updatebandbreedte nu goedkoper is dan vroeger, maar grote delen van het internet draaien nog steeds op " vintage ", meer dan " slecht geconfigureerde ", hardware. IP-spoofers vormen een minderheid, en het controleren van al het verkeer om ermee om te gaan is voor veel internetproviders en providers vaak niet rendabel genoeg.
Antwoord
Stel dat ik een brief wil schrijven aan een vriend in China. Op de achterkant van de envelop schrijf ik mijn thuisadres, dat is in Australië. Als ik de brief post terwijl ik op vakantie ben in Egypte, zou je dan verwachten dat de post mijn brief in de prullenbak gooit, omdat het retouradres kan worden vervalst?
Stel dat ik in Spanje ben. Kan ik op de een of andere manier verbinding maken met een server in de VS met een IP-adres dat is toegewezen aan Mexico? Zouden de routers niet gewoon weigeren mijn verkeer door te sturen?
Nee, dat zullen ze niet. Wat de router betreft, dit is gewoon weer een legitiem pakket dat bestemd is voor de VS. Het verkeer wordt op een vrij eenvoudige manier over het internet gerouteerd. Geen enkele partij controleert de hele route of zou er zelfs maar van op de hoogte moeten zijn. Routers doen niet veel meer dan mooie wegwijzers. Noord-Amerika? Niet hier. Sla linksaf en vraag het opnieuw bij de volgende kruising. “
Bij nader inzien kan een router in Spanje het verdacht vinden dat hij gegevens heeft ontvangen van Mexico naar de VS, maar het zou een verspilling van middelen zijn om dit te onderzoeken . Elke router blijft gewoon in de algemene richting van de bestemming wijzen. Uiteindelijk zou het pakket moeten aankomen. Tenzij de router natuurlijk is geconfigureerd zoals je lijkt te verwachten; hij wijst het pakket helemaal af. Dat is zeker mogelijk, maar niet erg nuttig voor iedereen. De router kan net zo goed zijn werk doen en ermee klaar zijn.
Opmerkingen
- De vakantie-analogie is gebrekkig. Hoewel de meeste routers geen praktische manier hebben om dit te controleren, zijn routers die alleen bekende netwerken bedienen dat wel . Mijn ISP zal bijvoorbeeld 192.168.x.y aan zijn klanten toewijzen: hij verwacht geen pakketten die van de downlink komen, behalve die welke afkomstig zijn van zijn klanten met die adressen.