IP spoofing (fra det engelske spoof - hoax) -
For en angriber er det grundlæggende angrebsprincip at forfalske deres egne IP-pakkeheadere, hvori blandt andet kildens IP-adresse ændres. Et IP-spoofing-angreb omtales ofte som "blind spoofing" [1] . Dette skyldes, at svar på forfalskede pakker ikke kan nå crackerens maskine, fordi den udgående adresse er blevet ændret. Der er dog stadig to metoder til at få svar:
Transport (4) protokollen TCP har en indbygget mekanisme til at forhindre spoofing - det såkaldte sekvensnummer og bekræftelse (sekvensnummer, kvitteringsnummer) [1] . UDP-protokollen har ikke en sådan mekanisme, derfor er applikationer bygget oven på den mere sårbare over for spoofing.
Overvej at etablere en TCP-forbindelse ( tredobbelt håndtryk ):
Ved at bruge IP-spoofing vil crackeren ikke være i stand til at se ISN'erne, da den ikke vil modtage et svar fra serveren. Han har brug for ISN'er i tredje trin, når han bliver nødt til at øge det med 1 og sende det. For at etablere en forbindelse på vegne af en andens IP, skal angriberen gætte ISN'erne. I ældre operativsystemer (OS) var det meget nemt at gætte ISN - det steg med én for hver forbindelse. Moderne OS'er bruger en mekanisme, der forhindrer ISN-gætning.
En type DoS-angreb . En angriber sender SYN-anmodninger til en ekstern server og erstatter afsenderens adresse. Svaret SYN+ACK sendes til en ikke-eksisterende adresse, som følge heraf dukker såkaldte halvåbne forbindelser op i forbindelseskøen, der venter på bekræftelse fra klienten. Efter en vis timeout afbrydes disse forbindelser. Angrebet er baseret på operativsystemets ressourcebegrænsningssårbarhed for halvåbne forbindelser, beskrevet i 1996 af CERT -gruppen , ifølge hvilken køen til sådanne forbindelser var meget kort (f.eks. tillod Solaris ikke mere end otte forbindelser), og forbindelses timeout var ret lang (ifølge RFC 1122 - 3 minutter).
En anden type DoS-angreb. Den angribende computer sender anmodninger til DNS-serveren og specificerer IP-adressen på den angrebne computer i den transmitterede pakke i kilde-IP-adressefeltet. Svaret fra DNS-serveren overstiger mængden af anmodningen med flere dusin gange, hvilket øger sandsynligheden for et vellykket DoS-angreb.
De eneste identifikatorer, hvormed en slutvært kan skelne mellem TCP-abonnenter og TCP-forbindelser, er felterne Sekvensnummer og Bekræft nummer. Ved at kende disse felter og bruge erstatningen af pakkens kilde-IP-adresse med IP-adressen på en af abonnenterne, kan angriberen indsætte alle data, der vil føre til en afbrydelse, en fejltilstand eller udføre en funktion til fordel for angriberen. Offeret bemærker måske ikke engang disse manipulationer.
Denne type angreb er mest effektiv, hvor der eksisterer et tillidsforhold mellem maskiner. I nogle virksomhedsnetværk har interne systemer f.eks. tillid til hinanden, og brugere kan logge på uden brugernavn eller adgangskode, så længe brugerens maskine er på det samme lokale netværk. Ved at spoofe en forbindelse fra en betroet maskine kan en angriber få adgang til målmaskinen uden godkendelse. Et berømt eksempel på et vellykket angreb er, at Kevin Mitnick brugte det mod Tsutomu Shimomuras bil i 1994 ( Mitnick-angrebet ).
Den nemmeste måde at kontrollere, at en mistænkelig pakke kom fra den rigtige afsender, er at sende pakken til afsenderens IP. Normalt bruges en tilfældig IP til IP-spoofing, og det er sandsynligt, at der ikke kommer noget svar. Hvis det gør det, giver det mening at sammenligne TTL-feltet ( Time to live ) for modtagne pakker. Hvis felterne ikke stemmer overens, kom pakkerne fra forskellige kilder.
På netværksniveau forhindres angrebet delvist af et pakkefilter på gatewayen. Det skal konfigureres på en sådan måde, at det ikke tillader pakker, der kommer gennem de netværksgrænseflader, hvorfra de ikke kunne komme. For eksempel filtrering af pakker fra et eksternt netværk med en kildeadresse inde i netværket.
En af de mest pålidelige metoder til beskyttelse mod IP-adressespoofing er at matche afsenderens MAC-adresse ( Ethernet -ramme ) og IP-adresse ( IP- protokolheader ). For eksempel, hvis en pakke med en IP-adresse fra det interne netværk har en gateway MAC-adresse, skal denne pakke kasseres. I moderne netværksenheder er det ikke et problem at ændre MAC-adressen (fysisk adresse).