Comentários
- possível duplicata de Quais riscos à segurança o spoofing de IP traz?
- @Xander Não ' acho que minha pergunta foi respondida na pergunta vinculada.
- Há ' uma discussão no Stackoverflow que pode ser interessante para você, talvez você possa dar uma olhada aqui
- @Caffeine spoofer.cmand.org//summary.php parece interessante, obrigado. A maioria das respostas que vejo fala sobre o problema de obter tráfego bidirecional. Mas eu não ' não vejo como você pode até mesmo fazer o tráfego unidirecional funcionar (para fazer um ataque DOS, por exemplo).
Resposta
Na verdade, você não pode. Sempre que você precisar que o tráfego IP seja bidirecional , spoofing de IP não será útil. O servidor contatado não responder para você , mas para outra pessoa, o endereço que você falsificou.
A falsificação de IP é normalmente “útil” apenas para interromper as comunicações – você envia pacotes prejudiciais e não deseja que eles sejam rastreáveis até você mesmo.
Em situações específicas, você pode usar um spoofing duplo para obter uma medida de bidirecionalidade. Por exemplo, vamos supor que conheçamos um sistema em algum lugar que tenha geradores de sequência ruins – sempre que você enviar um pacote para ele, ele responderá com um pacote contendo um número que aumenta monotonicamente. Se ninguém estivesse se conectando ao sistema exceto você, você esperaria obter 1, 2, 3, 4 …
Agora, vamos supor que você “esteja interessado em outro sistema está respondendo a pacotes específicos (por exemplo, você está executando uma varredura de porta) e deseja receber algumas informações, mas não quer que o sistema de destino tenha seu endereço real. Você pode enviar para esse sistema, um pacote falsificado fingindo ser da máquina de sequenciamento deficiente.
Agora, existem três possibilidades: o sistema alvo não responde, ele responde ou contra-ataca ativamente e (por exemplo) verifica o que foi fingido para determinar os motivos e razões desse primeiro pacote.
O que você faz é escanear – sem spoofing – a máquina de sequenciamento deficiente (PSM). Se ninguém, exceto você, se conectou a ele, o que significa que a máquina alvo não respondeu ao PSM, você receberá 1-2-3-4-5. Se ele respondeu uma vez , você obterá 1-3-5-7 (os pacotes 2, 4 e 6 foram enviados pelo PSM para a TM em resposta às respostas do TM-PSM aos pacotes falsificados de você para a TM. Se a TM fizer mais conexões, você “obterá algo como 2-11-17-31 ou algo assim.
O PSM sabe seu endereço real, é claro, mas a TM não. Dessa forma, você pode falsificar uma conexão e ainda coletar algumas informações. Se o nível de segurança do PSM for baixo o suficiente, isso, combinado com o fato de que sua “verificação” do PSM é inofensiva, é (espero) o suficiente para evitar consequências para você.
Outra possibilidade é falsificar uma máquina próxima. Por exemplo, você está na rede 192.168.168.0/24, tem IP 192.168.168.192 e tem acesso promíscuo a algum outro espaço de endereço da máquina, digamos 192.168.168.168. Você só precisa “convencer” o roteador que atende a você e à máquina .168 de que você é de fato a máquina .168 , e colocá-la offline ou interromper suas comunicações (ou esperar até que esteja offline para motivos próprios, por exemplo, um colega saindo para almoçar). Então as respostas aos pacotes .168 falsificados passarão rapidamente por você, mas contanto que você possa farejá-los enquanto eles passam, e o .168 verdadeiro não será capaz de enviar um “Não fui eu!” resposta, do lado de fora a comunicação parecerá válida e apontará de volta para a máquina .168.
Isso é como fingir ser seu vizinho da porta da frente, enquanto aquele apartamento está realmente vazio. Você encomenda algo pelo correio, o pacote é entregue na porta do outro, você diz ao entregador “Ah, sim, sr. Smith voltará em meia hora, eu “assinarei por ele” e pegarei o pacote.
Comentários
- Obrigado, mas mesmo quando você não ' não precisa que o tráfego seja bidirecional eu não ' não entendo. Será que ' os roteadores na Espanha simplesmente rejeitam o tráfego que parece vir de um endereço IP mexicano?
- Percebo que a pergunta vinculada diz " muitos roteadores são configurados para descartar tráfego com um IP de origem obviamente errado." Então o spoofing de IP depende de roteadores configurados incorretamente?
- Sim, mas muitos roteadores realmente não executam o chamado " filtragem de saída ". O hardware mais moderno provavelmente será, já que a memória, o poder de computação e a largura de banda de atualização são mais baratos agora do que antigamente, mas grande parte da Internet ainda funciona em " vintage ", mais de " mal configurado ", hardware. Os spoofers de IP são uma minoria e verificar todo o tráfego para lidar com isso muitas vezes não é econômico o suficiente para muitos ISPs e operadoras.
Resposta
Digamos que eu queira escrever uma carta para um amigo na China. No verso do envelope, escrevo meu endereço residencial, que é na Austrália. Se eu postar a carta durante as férias no Egito, você esperaria que o serviço postal jogasse minha carta no lixo, porque o endereço do remetente pode ser falsificado?
Digamos que eu esteja na Espanha, posso de alguma forma me conectar a um servidor nos EUA com um endereço IP alocado para o México? Os roteadores simplesmente se recusam a encaminhar meu tráfego?
Não, eles não vão. No que diz respeito ao roteador, este é apenas mais um pacote legítimo destinado aos EUA. O tráfego é roteado pela Internet de uma forma bastante simples. Nenhuma parte controla a rota inteira ou nem mesmo deveria estar ciente de uma. Os roteadores fazem pouco mais do que placas de sinalização sofisticadas. “América do Norte? Aqui não. Vire à esquerda e pergunte novamente no próximo cruzamento. “
Em uma inspeção mais detalhada, um roteador na Espanha pode achar suspeito que recebeu dados do México para os EUA, mas seria um desperdício de recursos investigar . Cada roteador simplesmente continua apontando na direção geral do destino. Eventualmente, o pacote deve chegar. A menos, é claro, que o roteador esteja configurado da maneira que você parece esperar; ele rejeita o pacote por completo. Isso é certamente possível, mas não é muito útil para ninguém. O roteador pode muito bem fazer seu trabalho e terminar com ele.
Comentários
- A analogia das férias é falha. Embora a maioria dos roteadores não tenha uma maneira prática de verificar, os roteadores que atendem apenas a redes conhecidas têm . Por exemplo, meu ISP atribuirá 192.168.x.y a seus clientes: ele não espera nenhum pacote que chegue do downlink, exceto aqueles originados por seus clientes com esses endereços.