Подмена IP-адреса - IP address spoofing

пример сценария подмены IP-адреса

В компьютерная сеть, Подмена IP-адреса или Подмена IP это создание протокол Интернета (IP) пакеты с ложным источником айпи адрес, с целью имитации другой вычислительной системы.^[1]

Задний план

Основным протоколом для отправки данных по сети Интернет и многим другим компьютерным сетям является протокол Интернета (IP). Протокол указывает, что каждый IP-пакет должен иметь заголовок который содержит (среди прочего) IP-адрес отправителя пакета. Исходным IP-адресом обычно является адрес, с которого был отправлен пакет, но адрес отправителя в заголовке может быть изменен, чтобы получателю казалось, что пакет пришел из другого источника.

Протокол требует, чтобы принимающий компьютер отправил ответ на исходный IP-адрес, поэтому спуфинг в основном используется, когда отправитель может предвидеть ответ сети или не заботится об ответе.

Исходный IP-адрес предоставляет только ограниченную информацию об отправителе. Он может предоставить общую информацию о регионе, городе и поселке, когда был отправлен пакет. Он не предоставляет информацию о личности отправителя или используемого компьютера.

Приложения

Подмена IP-адреса с использованием доверенного IP-адреса может использоваться сетевыми злоумышленниками для преодоления таких мер безопасности сети, как аутентификация на основе IP-адресов. Этот тип атаки наиболее эффективен при наличии доверительных отношений между машинами. Например, в некоторых корпоративных сетях часто бывает, что внутренние системы доверяют друг другу, поэтому пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другой машины во внутренней сети, что потребует от них уже входа в систему. Подделав соединение с доверенной машины, злоумышленник в той же сети может получить доступ к целевой машине без аутентификации.

Подмена IP-адреса наиболее часто используется в атаки отказа в обслуживании, где цель состоит в том, чтобы заполнить цель огромным объемом трафика, и злоумышленник не заботится о получении ответов на пакеты атаки. Пакеты с поддельными IP-адресами труднее фильтровать, поскольку каждый поддельный пакет, кажется, исходит с другого адреса, и они скрывают истинный источник атаки. Атаки типа «отказ в обслуживании», использующие спуфинг, обычно случайным образом выбирают адреса из всего пространства IP-адресов, хотя более сложные механизмы спуфинга могут избегать немаршрутизируемых адресов или неиспользуемых частей пространства IP-адресов. Распространение больших ботнеты делает спуфинг менее важным при атаках типа "отказ в обслуживании", но злоумышленники обычно имеют возможность использовать спуфинг в качестве инструмента, если они хотят его использовать, поэтому защита от атак типа "отказ в обслуживании", которые полагаются на достоверность исходного IP-адреса в атакующих пакетах, может есть проблемы с поддельными пакетами. Обратное рассеяние, метод, используемый для наблюдения за активностью атак типа «отказ в обслуживании» в Интернете, основан на использовании злоумышленниками подмены IP-адреса для его эффективности.^[2]

Законное использование

Использование пакетов с ложным исходным IP-адресом не всегда свидетельствует о наличии злого умысла. Например, при тестировании производительности веб-сайтов могут быть созданы сотни или даже тысячи «виртуальных пользователей», каждый из которых выполняет тестовый сценарий для тестируемого веб-сайта, чтобы имитировать, что произойдет, когда система перейдет в «живую». и большое количество пользователей одновременно входят в систему.

Поскольку каждый пользователь обычно имеет свой IP-адрес, коммерческие продукты для тестирования (например, HP LoadRunner, WebLOAD и др.) могут использовать IP-спуфинг, позволяя каждому пользователю иметь собственный «обратный адрес».

Сервисы уязвимы для IP-спуфинга

Конфигурация и службы, уязвимые для IP-спуфинга:

RPC (Удаленный вызов процедур Сервисы)
Любая служба, использующая аутентификацию IP-адреса
Набор сервисов R (rlogin, rsh, так далее.)

Защита от атак спуфинга

Пакетная фильтрация это одна защита от интеллектуальной собственности спуфинговые атаки. Шлюз в сеть обычно выполняет входящая фильтрация, который является блокировкой пакетов извне сети с адресом источника внутри сети. Это предотвращает подмену адреса внутренней машины внешним злоумышленником. В идеале шлюз также должен выполнять исходящая фильтрация на исходящих пакетах, то есть блокирование пакетов изнутри сети с адресом источника, который не находится внутри. Это не позволяет злоумышленнику в сети, выполняющему фильтрацию, запускать атаки с подменой IP-адреса на внешние машины. Система обнаружения вторжений (IDS) - это обычное использование фильтрации пакетов, которая использовалась для защиты сред для обмена данными по сети и подходам IDS на основе хоста. ^[3]

Также рекомендуется разрабатывать сетевые протоколы и службы так, чтобы они не полагались на исходный IP-адрес для аутентификации.

Верхние слои

Немного протоколы верхнего уровня обеспечивают собственную защиту от атак с подменой IP. Например, Протокол управления передачей (TCP) использует порядковые номера, согласованные с удаленным компьютером, чтобы гарантировать, что прибывающие пакеты являются частью установленного соединения. Так как злоумышленник обычно не видит никаких ответных пакетов, необходимо угадать порядковый номер, чтобы перехватить соединение. Однако плохая реализация во многих старых операционных системах и сетевых устройствах означает, что порядковые номера TCP можно предсказать.

Другие определения

Период, термин спуфинг также иногда используется для обозначения подделка заголовка, добавление ложной или вводящей в заблуждение информации в Эл. почта или netnews заголовки. Фальсифицированные заголовки используются для того, чтобы ввести получателя или сетевые приложения в заблуждение относительно источника сообщения. Это распространенный метод спамеры и Sporgers, которые хотят скрыть происхождение своих сообщений, чтобы их не отследили.

Смотрите также

Исходящая фильтрация
Входящая фильтрация
Трансляция сетевых адресов
Переадресация обратного пути
RFC 1948 г., Защита от атак с порядковым номером, май 1996 г.
Маршрутизатор (включает список производителей)
Поддельный URL
Подмена MAC

использованная литература

^ Тэнасе, Мэтью (10 марта 2003 г.). «IP Spoofing: An Introduction». Symantec. Получено 25 сентября, 2015.
^ «GRIN - современное влияние на систему связи спуфинга IP, его обнаружение и предотвращение». www.grin.com. Получено 2020-07-21.
^ Чаудхари, Манодж; Бхарти, Абхишек Кумар; Гоял, Магги (2013). «ОБЗОР ОБНАРУЖЕНИЯ УГОНА СЕССИИ И IP SPOOFING». Международный журнал перспективных исследований в области компьютерных наук. 4 (9): 104–107 - через ProQuest Central.

внешние ссылки

Проект ANA Spoofer: состояние спуфинга IP и клиентского тестирования

[1] Тэнасе, Мэтью (10 марта 2003 г.). «IP Spoofing: An Introduction». Symantec. Получено 25 сентября, 2015.

[2] «GRIN - современное влияние на систему связи спуфинга IP, его обнаружение и предотвращение». www.grin.com. Получено 2020-07-21.

[3] Чаудхари, Манодж; Бхарти, Абхишек Кумар; Гоял, Магги (2013). «ОБЗОР ОБНАРУЖЕНИЯ УГОНА СЕССИИ И IP SPOOFING». Международный журнал перспективных исследований в области компьютерных наук. 4 (9): 104–107 - через ProQuest Central.

[1]

[2]

[3]