Fałszowanie adresu IP
W sieciach komputerowych fałszowanie adresów IP lub fałszowanie adresów IP polega na tworzeniu pakietów protokołu internetowego ( IP) z fałszywym źródłowym adresem IP w celu podszywania się pod inny system komputerowy.
Tło
Podstawowym protokołem przesyłania danych przez sieć Internet i wiele innych sieci komputerowych jest protokół internetowy (IP). Protokół określa, że każdy pakiet IP musi mieć nagłówek , który zawiera (między innymi) adres IP nadawcy pakietu. Źródłowy adres IP to zwykle adres, z którego pakiet został wysłany, ale adres nadawcy w nagłówku można zmienić, tak aby odbiorca miał wrażenie, że pakiet pochodzi z innego źródła.
Protokół wymaga, aby komputer odbierający odesłał odpowiedź na źródłowy adres IP, dlatego spoofing jest stosowany głównie wtedy, gdy nadawca może przewidzieć odpowiedź sieci lub nie zależy jej na odpowiedzi.
Źródłowy adres IP dostarcza jedynie ograniczonych informacji o nadawcy. Może zawierać ogólne informacje o regionie, mieście i miejscowości, w której pakiet został wysłany. Nie zawiera informacji na temat tożsamości nadawcy ani używanego komputera.
Aplikacje
Podszywanie się pod adres IP przy użyciu zaufanego adresu IP może być wykorzystywane przez intruzów sieciowych do obejścia środków bezpieczeństwa sieci, takich jak uwierzytelnianie na podstawie adresów IP. Ten typ ataku jest najskuteczniejszy tam, gdzie między maszynami istnieją relacje zaufania. Na przykład w niektórych sieciach korporacyjnych często systemy wewnętrzne ufają sobie nawzajem, dzięki czemu użytkownicy mogą logować się bez nazwy użytkownika lub hasła, pod warunkiem, że łączą się z innego komputera w sieci wewnętrznej – co wymagałoby wcześniejszego zalogowania. Fałszując połączenie z zaufanej maszyny, osoba atakująca w tej samej sieci może uzyskać dostęp do maszyny docelowej bez uwierzytelniania.
Fałszowanie adresu IP jest najczęściej stosowane w atakach typu „odmowa usługi” , gdzie celem jest zalanie celu przytłaczającym ruchem, a atakującemu nie zależy na otrzymaniu odpowiedzi na pakiety ataku. Pakiety ze sfałszowanymi adresami IP są trudniejsze do odfiltrowania, ponieważ każdy sfałszowany pakiet wydaje się pochodzić z innego adresu i ukrywa prawdziwe źródło ataku. Ataki typu „odmowa usługi”, które wykorzystują spoofing, zwykle wybierają losowo adresy z całej przestrzeni adresowej IP, chociaż bardziej wyrafinowane mechanizmy fałszowania mogą unikać adresów nierutowalnych lub niewykorzystanych części przestrzeni adresowej IP. Rozprzestrzenianie się dużych botnety sprawiają, że fałszowanie jest mniej ważne w atakach typu „odmowa usługi”, ale atakujący zazwyczaj mają do dyspozycji narzędzie do fałszowania, jeśli chcą go użyć, więc obrona przed atakami typu „odmowa usługi”, które opierają się na ważności źródłowego adresu IP w pakietach ataku może mieć problemy ze sfałszowanymi pakietami. Backscatter , technika używana do obserwowania ataków typu „odmowa usługi” w Internecie, opiera się na wykorzystaniu przez atakujących fałszowania adresów IP w celu uzyskania skuteczności.
Legalne zastosowania
Wykorzystanie pakietów z fałszywym źródłowym adresem IP nie zawsze świadczy o złych intencjach. Na przykład podczas testowania wydajności stron internetowych można utworzyć setki, a nawet tysiące „vuserów” (użytkowników wirtualnych), z których każdy wykonuje skrypt testowy na testowanej stronie internetowej, aby zasymulować, co się stanie, gdy system zostanie „uruchomiony” i duża liczba użytkowników loguje się jednocześnie.
Ponieważ każdy użytkownik zwykle ma swój własny adres IP, komercyjne produkty testujące (takie jak HP LoadRunner , WebLOAD i inne) mogą wykorzystywać fałszowanie adresów IP, umożliwiając każdemu użytkownikowi własny „adres zwrotny”.
Fałszowanie adresów IP jest również używane w niektórych równoważeniu obciążenia po stronie serwera. Pozwala systemowi równoważenia obciążenia rozpraszać ruch przychodzący, ale nie musi znajdować się na ścieżce powrotnej z serwerów do klienta. Pozwala to zaoszczędzić przeskoki sieciowe przez przełączniki i moduł równoważenia obciążenia, a także obciążenie przetwarzania komunikatów wychodzących w module równoważenia obciążenia. Wyjście zwykle zawiera więcej pakietów i bajtów, więc oszczędności są znaczne.
Usługi podatne na fałszowanie adresów IP
Konfiguracja i usługi podatne na fałszowanie adresów IP:
- RPC ( usługi zdalnego wywoływania procedur )
- Dowolna usługa korzystająca z uwierzytelniania adresu IP
- Pakiet usług R ( rlogin , rsh itp.)
Obrona przed atakami typu spoofing
Filtrowanie pakietów to jedna z metod obrony przed atakami polegającymi na fałszowaniu adresów IP . Brama do sieci zwykle wykonuje filtrowanie ruchu przychodzącego , czyli blokowanie pakietów spoza sieci z adresem źródłowym wewnątrz sieci. Zapobiega to sfałszowaniu adresu wewnętrznej maszyny przez osobę atakującą z zewnątrz. Idealnie byłoby, gdyby brama wykonywała również filtrowanie wychodzące pakietów wychodzących, co oznacza blokowanie pakietów z wnętrza sieci z adresem źródłowym, który nie znajduje się w środku. Uniemożliwia to atakującemu w sieci przeprowadzającemu filtrowanie przeprowadzanie ataków fałszowania adresów IP na zewnętrzne maszyny. Jakiś System wykrywania włamań (IDS) jest powszechnym zastosowaniem filtrowania pakietów, które zostało użyte do zabezpieczenia środowisk do udostępniania danych przez sieć i podejścia IDS oparte na hoście. [ potrzebne źródło ]
Zaleca się również zaprojektowanie protokołów i usług sieciowych w taki sposób, aby nie polegały one na źródłowym adresie IP w celu uwierzytelnienia.
Górne warstwy
Niektóre protokoły wyższych warstw mają własną obronę przed atakami polegającymi na fałszowaniu adresów IP. Na przykład protokół kontroli transmisji (TCP) używa numerów sekwencyjnych negocjowanych ze zdalną maszyną, aby zapewnić, że przychodzące pakiety są częścią nawiązanego połączenia. Ponieważ atakujący zwykle nie widzi żadnych pakietów odpowiedzi, numer sekwencyjny musi zostać odgadnięty, aby przejąć połączenie. Słaba implementacja w wielu starszych systemach operacyjnych i urządzeniach sieciowych oznacza jednak, że można przewidzieć numery sekwencyjne TCP.
Inne definicje
Termin spoofing jest również czasami używany w odniesieniu do fałszowania nagłówków , wstawiania fałszywych lub wprowadzających w błąd informacji w nagłówkach wiadomości e-mail lub netnews . Sfałszowane nagłówki służą do wprowadzenia w błąd odbiorcy lub aplikacji sieciowych co do pochodzenia wiadomości. Jest to powszechna technika spamerów i sporgerów , którzy chcą ukryć pochodzenie swoich wiadomości, aby uniknąć śledzenia.
Zobacz też
- Filtrowanie wychodzące
- Filtrowanie ruchu przychodzącego
- MAC fałszowanie
- Translacja adresów sieciowych
- Przekazywanie ścieżki zwrotnej
- Router (przetwarzanie)
- Fałszywy adres URL
Linki zewnętrzne
- Projekt ANA Spoofer: stan fałszowania adresu IP i test klienta
- RFC 6528 , Obrona przed atakami numerycznymi, luty 2012 r