IP-spoofing (från engelska spoof - hoax) -
För en angripare är den grundläggande attackprincipen att förfalska sina egna IP-pakethuvuden, där bland annat käll-IP-adressen ändras. En IP-spoofingattack kallas ofta för "blind spoofing" [1] . Detta beror på att svar på falska paket inte kan nå crackerns maskin eftersom den utgående adressen har ändrats. Det finns dock fortfarande två metoder för att få svar:
Transport (4) -protokollet TCP har en inbyggd mekanism för att förhindra spoofing - det så kallade sekvensnumret och bekräftelsen (sekvensnummer, bekräftelsenummer) [1] . UDP -protokollet har inte en sådan mekanism, därför är applikationer som är byggda ovanpå det mer sårbara för spoofing.
Överväg att upprätta en TCP-anslutning ( trippelhandskakning ):
Genom att använda IP-spoofing kommer krackern inte att kunna se ISN:erna, eftersom den inte kommer att få något svar från servern. Han behöver ISN i det tredje steget, då han måste öka det med 1 och skicka det. För att upprätta en anslutning på uppdrag av någon annans IP måste angriparen gissa ISN:erna. I äldre operativsystem (OS) var det väldigt lätt att gissa ISN - det ökade med ett för varje anslutning. Moderna operativsystem använder en mekanism som förhindrar ISN-gissning.
En typ av DoS-attack . En angripare skickar SYN-förfrågningar till en fjärrserver och ersätter avsändarens adress. Svaret SYN+ACK skickas till en obefintlig adress, vilket gör att så kallade halvöppna anslutningar dyker upp i anslutningskön i väntan på bekräftelse från klienten. Efter en viss timeout avbryts dessa anslutningar. Attacken är baserad på operativsystemets resursbegränsningssårbarhet för halvöppna anslutningar, som beskrevs 1996 av CERT -gruppen , enligt vilken kön för sådana anslutningar var mycket kort (till exempel tillät Solaris inte mer än åtta anslutningar), och anslutningstiden var ganska lång (enligt RFC 1122 - 3 minuter).
En annan typ av DoS-attack. Den attackerande datorn skickar förfrågningar till DNS-servern och anger IP-adressen för den attackerade datorn i det överförda paketet i käll-IP-adressfältet. Svaret från DNS-servern överstiger förfrågans volym med flera dussin gånger, vilket ökar sannolikheten för en framgångsrik DoS-attack.
De enda identifierare med vilka en slutvärd kan skilja mellan TCP-abonnenter och TCP-anslutningar är fälten Sequence Number och Acknowledge Number. Genom att känna till dessa fält och genom att ersätta paketets käll-IP-adress med IP-adressen för en av abonnenterna, kan angriparen infoga vilken data som helst som leder till en frånkoppling, ett feltillstånd eller utföra någon funktion till förmån för angriparen. Offret kanske inte ens märker dessa manipulationer.
Denna typ av attack är mest effektiv där det finns ett förtroendeförhållande mellan maskiner. Till exempel, i vissa företagsnätverk litar interna system på varandra, och användare kan logga in utan användarnamn eller lösenord, så länge som användarens dator är på samma lokala nätverk. Genom att spoofa en anslutning från en betrodd maskin kan en angripare få tillgång till måldatorn utan autentisering. Ett känt exempel på en lyckad attack är att Kevin Mitnick använde den mot Tsutomu Shimomuras bil 1994 ( The Mitnick attack ).
Det enklaste sättet att kontrollera att ett misstänkt paket kom från rätt avsändare är att skicka paketet till avsändarens IP. Vanligtvis används en slumpmässig IP för IP-spoofing, och det är troligt att inget svar kommer. Om den gör det är det vettigt att jämföra TTL-fältet ( Time to live ) för mottagna paket. Om fälten inte stämmer överens kom paketen från olika källor.
På nätverksnivå förhindras attacken delvis av ett paketfilter på gatewayen. Den måste konfigureras på ett sådant sätt att den inte tillåter paket som kommer genom dessa nätverksgränssnitt där de inte kunde komma. Till exempel filtrering av paket från ett externt nätverk med en källadress inuti nätverket.
En av de mest pålitliga metoderna för skydd mot IP-adressförfalskning är att matcha avsändarens MAC-adress ( Ethernet- ram ) och IP-adress ( IP- protokollhuvud ). Till exempel, om ett paket med en IP-adress från det interna nätverket har en gateway-MAC-adress, bör detta paket kasseras. I moderna nätverksenheter är det inget problem att ändra MAC-adressen (fysisk adress).