IP spoofing

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 14. března 2015; kontroly vyžadují 15 úprav .

IP spoofing (z anglického  spoof  - hoax) -

  1. Typ hackerského útoku , který spočívá v použití cizí zdrojové IP adresy za účelem oklamání bezpečnostního systému.
  2. Metoda používaná při některých útocích. Spočívá ve změně pole „adresa odesílatele“ IP paketu . Používá se ke skrytí skutečné adresy útočníka, k odeslání paketu s odpovědí na požadovanou adresu ak dalším účelům.

Popis

Pro útočníka je základním principem útoku falšování vlastních hlaviček IP paketů, ve kterých se mimo jiné mění zdrojová IP adresa. IP spoofing útok je často označován jako "blind spoofing" [1] . Je to proto, že odpovědi na podvržené pakety se nemohou dostat do počítače crackera, protože odchozí adresa byla změněna. Stále však existují dva způsoby, jak získat odpovědi:

  1. Směrování zdroje ( en:Source routing ): IP má funkci směrování zdroje, která vám umožňuje určit cestu pro pakety odpovědí. Tato trasa je sada IP adres směrovačů, přes které musí paket putovat. Crackerovi stačí poskytnout cestu pro pakety k routeru, který řídí. V současnosti většina implementací zásobníku protokolu TCP/IP odmítá pakety směrované zdrojem;
  2. Přesměrování: Pokud směrovač používá protokol RIP , lze jeho tabulky změnit zasláním paketů RIP s novými informacemi o směrování. Pomocí toho cracker dosáhne směrování paketů do routeru pod jeho kontrolou.

Použití útoku

Transportní (4) protokol TCP má vestavěný mechanismus pro zamezení spoofingu - tzv. pořadové číslo a potvrzení (číslo pořadu, číslo potvrzení) [ 1] . Protokol UDP takový mechanismus nemá, a proto jsou na něm postavené aplikace zranitelnější vůči spoofingu.

Zvažte navázání TCP spojení ( triple handshake ):

  1. klient odešle TCP paket s nastaveným příznakem SYN , dále zvolí ISNc (Client's Initial Sequence Number, Sequence Number ).
  2. server zvýší ISNc a odešle je zpět spolu se svými ISN (počáteční sekvenční číslo serveru, číslo potvrzení ) a příznaky SYN+ACK .
  3. klient odpoví potvrzením ACK obsahujícím ISN plus jedna.

Pomocí IP-spoofingu nebude cracker schopen vidět ISN, protože neobdrží odpověď ze serveru. ISN potřebuje ve třetím kroku, kdy je bude muset zvýšit o 1 a odeslat. K navázání spojení jménem IP někoho jiného musí útočník uhodnout ISN. Ve starších operačních systémech (OS) bylo velmi snadné ISN uhodnout – s každým připojením se zvyšovalo o jedno. Moderní operační systémy používají mechanismus, který zabraňuje hádání ISN.

SYN flood

Typ DoS útoku . Útočník odešle požadavky SYN na vzdálený server a nahradí tak adresu odesílatele. Odpověď SYN+ACK je odeslána na neexistující adresu, v důsledku toho se ve frontě připojení objevují tzv. polootevřená spojení, která čekají na potvrzení od klienta. Po určitém časovém limitu jsou tato připojení zrušena. Útok je založen na zranitelnosti omezení zdrojů operačního systému pro polootevřená připojení, popsané v roce 1996 skupinou CERT , podle níž byla fronta na taková připojení velmi krátká (například Solaris nepovoloval více než osm připojení) a časový limit připojení byl poměrně dlouhý (podle RFC 1122  - 3 minuty).

Amplifikace DNS [2]

Další typ DoS útoku. Útočící počítač zasílá požadavky na DNS server , přičemž v přenášeném paketu uvede v poli zdrojová IP adresa IP adresu napadeného počítače. Odezva DNS serveru několik desítekkrát převyšuje objem požadavku, což zvyšuje pravděpodobnost úspěšného DoS útoku.

TCP hijacking

Jedinými identifikátory, podle kterých může koncový hostitel rozlišovat mezi účastníky TCP a připojeními TCP, jsou pole Sequence Number a Acknowledge Number. Se znalostí těchto polí a pomocí nahrazení zdrojové IP adresy paketu IP adresou jednoho z účastníků může útočník vložit jakákoli data, která povedou k odpojení, chybovému stavu nebo vykoná nějakou funkci ve prospěch útočníka. Oběť si těchto manipulací nemusí ani všimnout.

Autentizace založená na IP

Tento typ útoku je nejúčinnější tam, kde mezi počítači existuje důvěryhodný vztah. Například v některých podnikových sítích si interní systémy navzájem důvěřují a uživatelé se mohou přihlásit bez uživatelského jména nebo hesla, pokud je počítač uživatele ve stejné místní síti. Podvržením připojení z důvěryhodného počítače může útočník získat přístup k cílovému počítači bez ověření. Slavným příkladem úspěšného útoku je, že jej Kevin Mitnick použil proti autu Tsutomu Shimomura v roce 1994 ( útok Mitnick ).

Ochrana IP spoofingu

Nejjednodušší způsob, jak zkontrolovat, zda podezřelý paket přišel od správného odesílatele, je odeslat paket na IP adresu odesílatele. Obvykle se pro IP spoofing používá náhodná IP a je pravděpodobné, že nepřijde žádná odpověď. Pokud ano, má smysl porovnávat pole TTL ( Time to live ) přijatých paketů. Pokud se pole neshodují, pakety pocházejí z různých zdrojů.

Na úrovni sítě je útoku částečně zabráněno paketovým filtrem na bráně. Musí být nakonfigurován tak, aby neumožňoval pakety, které přicházejí přes ta síťová rozhraní, odkud nemohly přijít. Například filtrování paketů z externí sítě se zdrojovou adresou uvnitř sítě.

Jednou z nejspolehlivějších metod ochrany proti falšování IP adres je shoda MAC adresy ( ethernetového rámce ) a IP adresy ( záhlaví IP protokolu ) odesílatele. Pokud má například paket s IP adresou z vnitřní sítě MAC adresu brány, měl by být tento paket zahozen. V moderních síťových zařízeních není problém změnit MAC adresu (fyzickou adresu).

Služby zranitelné vůči útoku

  1. RPC ( vzdálené volání procedury )
  2. Jakákoli služba, která používá ověřování pomocí IP adresy
  3. Systém X Window
  4. r-services ( en: rcp , rlogin , en: rsh atd.)

Poznámky

  1. 1 2 IP Spoofing: An Introduction  (anglicky)  (odkaz není k dispozici) . Symantec.com. Archivováno z originálu 11. června 2013.
  2. Útoky na zesílení DNS . SecuriTeam. Získáno 15. prosince 2014. Archivováno z originálu 16. prosince 2014.  (Angličtina)

Odkazy