Подмена IP-адреса

Создание IP-пакетов с использованием ложного IP-адреса

Пример сценария подмены IP-адреса

В компьютерных сетях подмена IP-адреса или подмена IP — это создание пакетов Интернет-протокола (IP) с ложным IP-адресом источника с целью выдать себя за другую вычислительную систему. ^[1]

Фон

Базовым протоколом для отправки данных через сеть Интернет и многие другие компьютерные сети является Интернет-протокол (IP). Протокол определяет, что каждый IP-пакет должен иметь заголовок , который содержит (помимо прочего) IP-адрес отправителя пакета. IP-адрес источника обычно является адресом, с которого был отправлен пакет, но адрес отправителя в заголовке может быть изменен, чтобы получателю казалось, что пакет пришел из другого источника.

Протокол требует, чтобы принимающий компьютер отправил ответ на исходный IP-адрес, поэтому подмена в основном используется, когда отправитель может предвидеть ответ сети или не заботится об ответе.

Исходный IP-адрес предоставляет лишь ограниченную информацию об отправителе. Он может предоставлять общую информацию о регионе, городе и населенном пункте, когда пакет был отправлен. Он не предоставляет информацию о личности отправителя или используемого компьютера.

Приложения

Подмена IP-адреса, включающая использование доверенного IP-адреса, может использоваться сетевыми злоумышленниками для обхода мер сетевой безопасности, таких как аутентификация на основе IP-адресов. Этот тип атаки наиболее эффективен там, где между машинами существуют доверительные отношения. Например, в некоторых корпоративных сетях часто внутренние системы доверяют друг другу, так что пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другого компьютера во внутренней сети, что потребует от них уже входа в систему. Подменяя соединение с доверенного компьютера, злоумышленник в той же сети может получить доступ к целевому компьютеру без аутентификации.

Подмена IP-адреса чаще всего используется при атаках типа «отказ в обслуживании» , ^[2] когда цель состоит в том, чтобы наполнить цель огромным объемом трафика, а злоумышленник не заботится о получении ответов на атакующие пакеты. Пакеты с поддельными IP-адресами сложнее фильтровать, поскольку кажется, что каждый поддельный пакет исходит с другого адреса, и они скрывают истинный источник атаки. Атаки типа «отказ в обслуживании», использующие подмену, обычно случайным образом выбирают адреса из всего пространства IP-адресов, хотя более сложные механизмы подмены могут избежать немаршрутизируемых адресов или неиспользуемых частей пространства IP-адресов. Распространение крупных ботнетов делает спуфинг менее важным при атаках типа «отказ в обслуживании», но злоумышленники обычно имеют спуфинг в качестве инструмента, если они хотят его использовать, поэтому защита от атак типа «отказ в обслуживании», основанная на достоверности исходного IP-адреса адрес в пакетах атаки может иметь проблемы с поддельными пакетами.

При DDoS-атаках злоумышленник может решить подменить исходный IP-адрес случайно сгенерированными адресами, поэтому компьютер-жертва не сможет отличить поддельные пакеты от законных пакетов. Ответы затем будут отправлены на случайные адреса, которые не попадают куда-то конкретно. Такие пакеты в никуда называются обратным рассеянием , и существуют сетевые телескопы , отслеживающие обратное рассеяние, чтобы измерить статистическую интенсивность DDoS-атак в Интернете с течением времени. ^[3]

Законное использование

Использование пакетов с ложным IP-адресом источника не всегда является свидетельством злого умысла. Например, при тестировании производительности веб-сайтов могут быть созданы сотни или даже тысячи «vusers» (виртуальных пользователей), каждый из которых выполняет тестовый сценарий для тестируемого веб-сайта, чтобы смоделировать то, что произойдет, когда система заработает «вживую». и большое количество пользователей входят в систему одновременно.

Поскольку каждый пользователь обычно имеет свой собственный IP-адрес, коммерческие продукты тестирования (такие как HP LoadRunner , WebLOAD и другие) могут использовать подмену IP, что также позволяет каждому пользователю иметь собственный «обратный адрес».

Подмена IP-адреса также используется при балансировке нагрузки на стороне сервера. Он позволяет балансировщику нагрузки распределять входящий трафик, но не обязательно находиться на обратном пути от серверов к клиенту. Это экономит сетевой переход через коммутаторы и балансировщик нагрузки, а также нагрузку на обработку исходящих сообщений на балансировщике нагрузки. Выходные данные обычно содержат больше пакетов и байтов, поэтому экономия значительна. ^{[4] [5]}

Сервисы уязвимы для подмены IP

Конфигурация и службы, уязвимые для подмены IP:

• RPC ( службы удаленного вызова процедур )
• Любая служба, использующая аутентификацию по IP-адресу.
• Пакет служб R ( rlogin , rsh и т. д.)

Защита от спуфинговых атак

Фильтрация пакетов является одной из мер защиты от атак с подменой IP-адреса . Шлюз сети обычно выполняет входную фильтрацию , то есть блокировку пакетов извне сети с адресом источника внутри сети. Это предотвращает подделку адреса внутренней машины внешним злоумышленником. В идеале шлюз также должен выполнять выходную фильтрацию исходящих пакетов, то есть блокировать пакеты изнутри сети с исходным адресом, который находится за пределами сети. Это не позволяет злоумышленнику внутри сети, выполняющему фильтрацию, запускать атаки с подменой IP-адреса на внешние машины. Система обнаружения вторжений ( IDS) — это распространенное применение фильтрации пакетов, которое используется для защиты сред при совместном использовании данных через сеть и подходы IDS на основе хоста. ^{[ нужна цитата ]}

Также рекомендуется проектировать сетевые протоколы и службы таким образом, чтобы они не полагались на исходный IP-адрес для аутентификации.

Верхние слои

Некоторые протоколы верхнего уровня имеют собственную защиту от атак с подменой IP. Например, протокол управления передачей (TCP) использует порядковые номера, согласованные с удаленным компьютером, чтобы гарантировать, что поступающие пакеты являются частью установленного соединения. Поскольку злоумышленник обычно не видит ответных пакетов, для перехвата соединения необходимо угадать порядковый номер. Однако плохая реализация во многих старых операционных системах и сетевых устройствах означает, что порядковые номера TCP можно предсказать.

Другие определения

Термин «спуфинг» также иногда используется для обозначения подделки заголовков , вставки ложной или вводящей в заблуждение информации в заголовки электронной почты или сетевых новостей . Фальсифицированные заголовки используются, чтобы ввести получателя или сетевые приложения в заблуждение относительно происхождения сообщения. Это распространенный метод спамеров и споргеров , которые хотят скрыть происхождение своих сообщений, чтобы их не отслеживали.

Смотрите также

• Фильтрация исходящего трафика
• Входная фильтрация
• Подмена MAC-адреса
• Трансляция сетевых адресов
• Переадресация по обратному пути
• Маршрутизатор (вычислительный)
• Поддельный URL-адрес

Рекомендации

1. Танасе, Мэтью (10 марта 2003 г.). «Подмена IP: Введение». Симантек . Проверено 25 сентября 2015 г.
2. Вирарагаван, Пракаш; Ханна, Далал; Пардеде, Эрик (14 сентября 2020 г.). «NAT++: эффективная архитектура Micro-NAT для защиты от атак IP-спуфинга в корпоративной сети». Электроника . 9 (9): 1510. doi : 10.3390/electronics9091510 . ISSN  2079-9292.
3. «GRIN - Сегодняшнее влияние на систему связи путем подмены IP-адреса, его обнаружения и предотвращения» . www.grin.com . Проверено 21 июля 2020 г.
4. «Сетевой диспетчер: маршрутизатор подключений для масштабируемых интернет-служб» .
5. «Компонент диспетчера». ИБМ .

Внешние ссылки

• Проект ANA Spoofer: состояние подмены IP-адресов и тестирование клиентов
• RFC 6528, Защита от атак по порядковому номеру, февраль 2012 г.