Подмена IP-адреса

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Подмена IP-адреса» - новости · газеты · книги · ученый · JSTOR ( февраль 2012 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

пример сценария подмены IP-адреса

В компьютерных сетей , IP - адрес спуфинг или IP - спуфинг является создание интернет - протокола (IP) пакетов с ложным источником IP - адрес , с целью олицетворения другой вычислительной системы. ^[1]

Фон [ править ]

Основным протоколом для передачи данных через Интернет-сеть и многие другие компьютерные сети является Интернет-протокол (IP). Протокол определяет, что каждый IP-пакет должен иметь заголовок, который содержит (среди прочего) IP-адрес отправителя пакета. Исходным IP-адресом обычно является адрес, с которого был отправлен пакет, но адрес отправителя в заголовке может быть изменен, чтобы получателю казалось, что пакет пришел из другого источника.

Протокол требует, чтобы принимающий компьютер отправил ответ на исходный IP-адрес, так что спуфинг в основном используется, когда отправитель может предвидеть ответ сети или не заботится об ответе.

Исходный IP-адрес предоставляет только ограниченную информацию об отправителе. Он может предоставить общую информацию о регионе, городе и поселке, когда был отправлен пакет. Он не предоставляет информацию о личности отправителя или используемого компьютера.

Приложения [ править ]

Подмена IP-адреса с использованием доверенного IP-адреса может использоваться сетевыми злоумышленниками для преодоления мер сетевой безопасности, таких как аутентификация на основе IP-адресов. Этот тип атаки наиболее эффективен при наличии доверительных отношений между машинами. Например, в некоторых корпоративных сетях часто бывает, что внутренние системы доверяют друг другу, поэтому пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другой машины во внутренней сети, что потребует от них уже входа в систему. Подделав соединение с доверенной машины, злоумышленник в той же сети может получить доступ к целевой машине без аутентификации.

Подмена IP-адреса наиболее часто используется в атаках типа «отказ в обслуживании» , цель которых состоит в том, чтобы завалить цель огромным объемом трафика, и злоумышленник не заботится о получении ответов на пакеты атаки. Пакеты с поддельными IP-адресами труднее фильтровать, поскольку каждый поддельный пакет, кажется, исходит с другого адреса, и они скрывают истинный источник атаки. Атаки типа «отказ в обслуживании», использующие спуфинг, обычно случайным образом выбирают адреса из всего пространства IP-адресов, хотя более сложные механизмы спуфинга могут избегать немаршрутизируемых адресов или неиспользуемых частей пространства IP-адресов. Распространение крупных ботнетовделает спуфинг менее важным при атаках типа "отказ в обслуживании", но злоумышленники, как правило, используют спуфинг в качестве инструмента, если они хотят его использовать, поэтому средства защиты от атак типа "отказ в обслуживании", которые полагаются на достоверность исходного IP-адреса в атакующих пакетах, могут есть проблемы с поддельными пакетами. Backscatter , метод, используемый для наблюдения за активностью атак типа «отказ в обслуживании» в Интернете, основан на использовании злоумышленниками подмены IP-адреса для его эффективности. ^[2]

Законное использование [ править ]

Использование пакетов с ложным исходным IP-адресом не всегда свидетельствует о злых умыслах. Например, при тестировании производительности веб-сайтов могут быть созданы сотни или даже тысячи «виртуальных пользователей», каждый из которых выполняет тестовый сценарий для тестируемого веб-сайта, чтобы имитировать, что произойдет, когда система перейдет в «живую». и большое количество пользователей одновременно входят в систему.

Поскольку каждый пользователь обычно имеет свой собственный IP-адрес, коммерческие продукты для тестирования (такие как HP LoadRunner , WebLOAD и другие) могут использовать подмену IP-адреса, что позволяет каждому пользователю также иметь собственный «обратный адрес».

Сервисы уязвимы для IP-спуфинга [ править ]

В этом разделе не процитировать любые источники . Пожалуйста, помогите улучшить этот раздел , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален . ( Сентябрь 2016 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Конфигурация и службы, уязвимые для IP-спуфинга:

RPC ( службы удаленного вызова процедур )
Любая служба, использующая аутентификацию IP-адреса
Набор сервисов R ( rlogin , rsh и т. Д.)

Защита от атак спуфинга [ править ]

Фильтрация пакетов - это одна из средств защиты от атак с подменой IP- адресов . Шлюз в сеть обычно выполняет входящую фильтрацию , то есть блокировку пакетов извне сети с адресом источника внутри сети. Это предотвращает подмену адреса внутренней машины внешним злоумышленником. В идеале шлюз также должен выполнять фильтрацию исходящего трафика.на исходящих пакетах, то есть блокирование пакетов изнутри сети с адресом источника, который не находится внутри. Это не позволяет злоумышленнику в сети, выполняющему фильтрацию, запускать атаки с подменой IP-адреса на внешние машины. Система обнаружения вторжений (IDS) - это обычное использование фильтрации пакетов, которая использовалась для защиты сред для обмена данными по сети и подходам IDS на основе хоста. ^{[ необходима цитата ]}

Также рекомендуется разрабатывать сетевые протоколы и службы так, чтобы они не полагались на исходный IP-адрес для аутентификации.

Верхние слои [ править ]

Некоторые протоколы верхнего уровня имеют собственную защиту от атак с подменой IP. Например, протокол управления передачей (TCP) использует порядковые номера, согласованные с удаленным компьютером, чтобы гарантировать, что прибывающие пакеты являются частью установленного соединения. Так как злоумышленник обычно не видит никаких ответных пакетов, необходимо угадать порядковый номер, чтобы перехватить соединение. Однако плохая реализация во многих старых операционных системах и сетевых устройствах означает, что порядковые номера TCP можно предсказать.

Другие определения [ править ]

Термин « спуфинг» также иногда используется для обозначения подделки заголовков , вставки ложной или вводящей в заблуждение информации в заголовки электронной почты или сетевых новостей . Фальсифицированные заголовки используются для того, чтобы ввести получателя или сетевые приложения в заблуждение относительно источника сообщения. Это распространенный прием спамеров и споргеров , которые хотят скрыть происхождение своих сообщений, чтобы их не отследили.

См. Также [ править ]

Исходящая фильтрация
Входящая фильтрация
Трансляция сетевых адресов
Переадресация обратного пути
RFC 1948 , Защита от атак с использованием порядковых номеров, май 1996 г.
Маршрутизатор (включает список производителей)
Поддельный URL
Подмена MAC

Ссылки [ править ]

↑ Tanase, Мэтью (10 марта 2003 г.). «IP Spoofing: An Introduction» . Symantec . Проверено 25 сентября 2015 года .
^ «GRIN - Сегодняшнее влияние на систему связи с помощью IP-спуфинга, его обнаружения и предотвращения» . www.grin.com . Проверено 21 июля 2020 .

Внешние ссылки [ править ]

Проект ANA Spoofer: состояние спуфинга IP и клиентского тестирования

[1] Tanase, Мэтью (10 марта 2003 г.). «IP Spoofing: An Introduction» . Symantec . Проверено 25 сентября 2015 года .

[2] «GRIN - Сегодняшнее влияние на систему связи с помощью IP-спуфинга, его обнаружения и предотвращения» . www.grin.com . Проверено 21 июля 2020 .

[1]