Hur lätt är det verkligen att göra IP-falskhet? [stängd]

<åt sidan class = "s-notice s-notice__info js-post-notice mb16" role = "status">

Stängt . Den här frågan måste vara mer fokuserad . För närvarande accepteras inte svar.

Kommentarer

  • möjlig duplikat av Vilka säkerhetsrisker medför IP-förfalskning?
  • @Xander Jag tror inte ' jag tror inte att min fråga besvaras i den länkade frågan.
  • Där ' en diskussion om Stackoverflow som du skulle vara intressant för dig, kanske du kan ta en titt här
  • @Caffeine spoofer.cmand.org//summary.php ser intressant ut, tack. De flesta svaren jag ser pratar om problemet med att få dubbelriktad trafik. Men jag ser inte ' hur du ens kan få enkelriktad trafik att fungera (för att göra en DOS-attack till exempel).

Svara

Egentligen kan du inte ”t. När du behöver IP-trafik för att vara dubbelriktad , är IP-förfalskning ingen användning. Den kontaktade servern skulle inte svara till dig men till någon annan, adressen du förfalskade.

IP-förfalskning är då normalt ”användbar” bara för att störa kommunikationen – du skickar skadliga paket och du don t vill att de ska kunna spåras till dig själv.

I specifika situationer kan du använda en dubbel spoofing för att samla ett mått på dubbelriktning. Låt oss till exempel anta att vi känner till ett system någonstans som har dåliga sekvensgeneratorer – när du skickar ett paket till det kommer det att svara med ett paket som innehåller ett monotont ökande nummer. Om ingen anslöt till systemet förutom dig, skulle du förvänta dig att få 1, 2, 3, 4 …

Låt oss vidare anta att du är intresserad av om en annan -systemet svarar på specifika paket (t.ex. att du kör en portavsökning) och du vill få lite information men vill inte att målsystemet ska ha din riktiga adress. Du kan skicka till det systemet ett förfalskat paket som låtsas vara från maskinen med dålig sekvensering.

Nu finns det tre möjligheter: målsystemet svarar inte, det svarar eller motverkar aktivt och (t.ex.) skannar det låtsade källa för att avgöra varför ”och varför” det första paketet.

Vad du gör är att du skannar – utan spoofing – den dåligt sekvenserande maskinen (PSM). Om ingen utom du har anslutit till den, vilket innebär att målmaskinen inte har svarat på PSM, får du 1-2-3-4-5. Om den svarade en gång får du får 1-3-5-7 (paketen 2, 4 och 6 har skickats av PSM till TM som svar på TM-PSM svarar på de förfalskade paketen från dig till TM. Om TM gjorde fler anslutningar kommer du att få något som 2-11-17-31 eller liknande.

PSM vet naturligtvis din riktiga adress, men TM gör det inte. På så sätt kan du spoofa en anslutning och fortfarande samla in lite information. Om PSM: s säkerhetsnivå är tillräckligt låg, är detta, i kombination med att din ”skanning” av PSM är ofarlig, (förhoppningsvis) tillräckligt för att förhindra konsekvenser för dig.

En annan möjlighet är att förfalska en närliggande maskin. Du är till exempel i nätverk 192.168.168.0/24, har IP 192.168.168.192 och du har promiskuös tillgång till något annat maskinadressutrymme, säg 192.168.168.168. Du måste bara ”övertyga” routern som betjänar både dig och .168-maskinen att du verkligen är .168-maskinen och ta den senare offline eller störa dess kommunikation (eller vänta tills den är offline för av sina egna skäl, t.ex. en kollega som loggar ut till lunch). Sedan kommer svaren på de förfalskade .168-paketen att viska förbi dig, men så länge du kan sniffa på dem medan de passerar, och den riktiga .168 kan inte skicka ett ”Det var inte jag!” svar, från utsidan verkar kommunikationen vara giltig och peka tillbaka till .168-maskinen.

Det här är ungefär som att låtsas vara din ytterdörrgranne, medan den här lägenheten verkligen är obehaglig. Du beställer något via post, paketet levereras till den andra ytterdörren, du säger till leverantören ”Åh ja, herr. Smith kommer tillbaka om en halvtimme, jag skriver bara för honom och hämtar paketet.

Kommentarer

  • Tack men även när du behöver inte ' att trafiken ska vara dubbelriktad. Jag får inte ' det. Vann ' t att routrarna i Spanien helt enkelt avvisar trafik som verkar komma från en mexikansk IP-adress?
  • Jag märker att den länkade frågan säger " många routrar är konfigurerade för att släppa trafik med en uppenbart fel IP-källa." Så förlitar sig IP-förfalskning på felaktigt konfigurerade routrar?
  • Ja, men många routrar utför faktiskt inte så kallade " utfiltrering ". Mer modern hårdvara kommer antagligen att göra det, eftersom minne, datorkraft och uppdateringsbandbredd är billigare nu än i tiden, men stora delar av Internet körs fortfarande på " vintage ", mer än " dåligt konfigurerad ", hårdvara. IP-spoofers är en minoritet, och det är ofta inte tillräckligt kostnadseffektivt att kontrollera all trafiken för att hantera den för många internetleverantörer och operatörer.

Svar

Säg att jag vill skriva ett brev till en vän i Kina. På baksidan av kuvertet skriver jag min hemadress, som ligger i Australien. Om jag lägger ut brevet när jag är på semester i Egypten, skulle du förvänta dig att posttjänsten kastar mitt brev i papperskorgen, eftersom returadressen kan vara falsk?

Låt oss säga att jag är i Spanien, kan jag på något sätt ansluta till en server i USA med en IP-adress som tilldelas Mexiko? Kommer inte routrarna helt enkelt vägra att vidarebefordra min trafik?

Nej, de vann inte t. När det gäller routern är detta bara ett annat legitimt paket för USA. Trafiken dirigeras över internet på ett ganska enkelt sätt. Ingen part kontrollerar hela rutten eller skulle ens behöva vara medveten om en. Routrar gör lite mer än snygga skyltar. ”Nordamerika? Inte här. Sväng vänster och fråga igen vid nästa korsning. ”

Vid närmare granskning kan en router i Spanien finna det misstänkt att den fick data från Mexiko till USA, men det skulle vara slöseri med resurser att undersöka Varje router fortsätter helt enkelt att peka i destinationens allmänna riktning. Så småningom bör paketet komma. Om inte naturligtvis routern är konfigurerad på det sätt som du verkar förvänta dig, den avvisar paketet helt och hållet. Det är verkligen möjligt, men inte särskilt användbart för någon. Routern kan lika gärna göra sitt jobb och vara klar med det.

Kommentarer

  • Semesteanalogin är bristfällig. Medan de flesta routrar inte har något praktiskt sätt att kontrollera, gör routrar som bara tjänar kända nätverk. Till exempel tilldelar min ISP 192.168.x.y till sina kunder: den förväntar sig inga paket som kommer från nedlänken förutom de som kommer från sina kunder med dessa adresser.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *