IP Spoofing

Postado em 18:03 by Administrador

O IP prazo (Internet Protocol) falsificação de endereço refere-se à criação de pacotes IP com um forjado (falsificado) endereço IP de origem, com o objetivo de ocultar a identidade do remetente ou fingir ser um outro sistema de computação.
Por que funciona? IP-Spoofing funciona porque os serviços de confiança só dependem de endereço baseado autenticação de rede. Desde IP é facilmente enganado, endereço falsificação não é difícil. A principal razão é falha de segurança no protocolo TCP conhecido como previsão de número de seqüência.
Como ele funciona? Para entender completamente como IP spoofing pode ter lugar, deve-se examinar a estrutura do conjunto de protocolos TCP / IP. Uma compreensão básica desses cabeçalhos e trocas de rede é fundamental para o processo.
Internet Protocol (IP): É um protocolo de rede que funciona a camada 3 (rede) do modelo OSI. É um modelo de conexão, o que significa que não há informações sobre estado de transação, que é usado para rotear pacotes em uma rede. Além disso, não existe nenhum método para assegurar que um pacote esteja adequadamente entregues no destino.

Examinando o cabeçalho IP, podemos ver que os primeiros 12 bytes (ou as 3 principais linhas do cabeçalho) contém várias informações sobre o pacote. Os próximos 8 bytes (os próximos 2 linhas), no entanto, contém os endereços IP de origem e destino. Usando uma das várias ferramentas, um invasor pode facilmente modificar estes endereços - especificamente no campo "endereço de origem".

Transmission Control Protocol (TCP):
É o, protocolo de transporte confiável orientado por conexão na suíte TCP / IP. Orientado a conexão significa simplesmente que os dois hosts que participam de uma discussão deve primeiro estabelecer uma conexão através do 3-way handshake (SYN-SYN/ACK-ACK). Confiabilidade é fornecido pelo sequenciamento de dados e reconhecimento. TCP atribui números de seqüência para cada segmento e reconhece todos e quaisquer segmentos de dados recebidas do outro lado.

Como você pode ver acima, os primeiros 12 bytes do pacote TCP, que contêm porta e informações de seqüenciamento.

Números de sequência de TCP pode simplesmente ser considerado como contadores de 32 bits. Eles variam de 0 a 4.294.967.295. Cada byte de dados trocados através de uma conexão TCP (juntamente com certas bandeiras) é seqüenciado. O campo de número de seqüência no cabeçalho TCP irá conter o número de seqüência do * primeiro * byte de dados do segmento TCP. O campo número de confirmação no cabeçalho TCP contém o valor do próximo * espera * número de seqüência, e também reconhece * todos * os dados através deste número ACK menos um.

Pacotes TCP pode ser manipulado usando vários softwares de artesanato de pacotes disponíveis na internet.

O ataque
IP-spoofing consiste em várias etapas. Primeiro, o host de destino é escolhido. Em seguida, um padrão de confiança é descoberto, juntamente com uma série de confiança. O anfitrião de confiança é então desativado, e os números de seqüência do TCP do alvo são amostrados. O host confiável é representada, os números de seqüência adivinhado, e é feita uma tentativa de conexão para um serviço que requer apenas a autenticação com base em endereço. Se for bem sucedido, o atacante executa um comando simples para deixar uma backdoor.

Spoofing pode ser implementada por meios diferentes como descrito a seguir -

Spoofing Não Cego: - Este tipo de ataque ocorre quando o atacante estiver na mesma sub-rede da vítima. Os números de seqüência e de confirmação pode ser desprezado, eliminando a dificuldade potencial de calculá-los com precisão.

Spoofing Cego: - Aqui, os números de seqüência e reconhecimento são inacessíveis. Para contornar isso, vários pacotes são enviados para a máquina de destino, a fim de provar os números de seqüência.

Ambos os tipos de spoofing são formas de uma violação de segurança comum conhecido como um homem no meio ataque. Nestes ataques, um partido malicioso intercepta uma comunicação legítima entre duas partes amigáveis. O host malicioso então controla o fluxo de comunicação e pode eliminar ou alterar as informações enviadas por um dos participantes originais sem o conhecimento de qualquer remetente original ou o destinatário. Desta forma, um atacante pode enganar a vítima para a divulgação de informações confidenciais por "spoofing" a identidade do remetente original, que é, presumivelmente, de confiança do destinatário.

IP spoofing é quase sempre usado no que é atualmente um dos mais difíceis para se defender contra ataques - ataques de negação de serviço, ou DoS.



1) Filtragem no Router: - Implementação de ingresso e egresso de filtragem em seus roteadores de borda é um ótimo lugar para começar a sua defesa spoofing. Você vai precisar de implementar uma ACL (lista de controle de acesso)

2) criptografia e autenticação - criptografia e autenticação Implementação também reduzir as ameaças de falsificação. Ambos os recursos estão incluídos no IPv6, que irá eliminar as ameaças de falsificação atuais.

3) Seqüência inicial Número aleatório.

Sem resposta para "IP Spoofing"