Войти
пример сценария подмены IP-адреса В компьютерных сетях, IP-адрес спуфинг или IP-спуфинг - это создание пакетов Интернет-протокола (IP) с ложным источником IP-адресом для цель олицетворения другой вычислительной системы.
Основным протоколом для отправки данных по сети Интернет и многим другим компьютерным сетям является Интернет-протокол (IP). Протокол определяет, что каждый IP-пакет должен иметь заголовок , который содержит (среди прочего) IP-адрес отправителя пакета. Исходным IP-адресом обычно является адрес, с которого был отправлен пакет, но адрес отправителя в заголовке может быть изменен, так что получателю кажется, что пакет пришел из другого источника.
Протокол требует, чтобы принимающий компьютер отправлял ответ на исходный IP-адрес, поэтому спуфинг в основном используется, когда отправитель может предвидеть ответ сети или не заботится об ответе.
Исходный IP-адрес предоставляет только ограниченную информацию об отправителе. Он может предоставить общую информацию о регионе, городе и поселке, когда был отправлен пакет. Он не предоставляет информацию о личности отправителя или используемого компьютера.
Подмена IP-адреса, включающая использование доверенного IP-адреса, может использоваться сетевыми злоумышленниками для преодоления мер сетевой безопасности, таких как аутентификация на основе IP-адресов. Этот тип атаки наиболее эффективен при наличии доверительных отношений между машинами. Например, в некоторых корпоративных сетях часто бывает, что внутренние системы доверяют друг другу, поэтому пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другой машины во внутренней сети, что потребует от них уже входа в систему. Подделав соединение с доверенной машины, злоумышленник в той же сети может получить доступ к целевой машине без аутентификации.
Подмена IP-адреса наиболее часто используется в атаках типа «отказ в обслуживании», цель которых - завалить цель огромным объемом трафика, а злоумышленник не заботится о получении ответы на пакеты атаки. Пакеты с поддельными IP-адресами труднее фильтровать, поскольку каждый поддельный пакет, кажется, исходит с другого адреса, и они скрывают истинный источник атаки. Атаки типа «отказ в обслуживании», использующие спуфинг, обычно случайным образом выбирают адреса из всего пространства IP-адресов, хотя более сложные механизмы спуфинга могут избегать немаршрутизируемых адресов или неиспользуемых частей пространства IP-адресов. Распространение больших ботнетов делает спуфинг менее важным при атаках типа "отказ в обслуживании", но злоумышленники, как правило, используют спуфинг в качестве инструмента, если они хотят его использовать, поэтому защита от атак типа "отказ в обслуживании", основанных на достоверность исходного IP-адреса в атакующих пакетах может иметь проблемы с поддельными пакетами. Backscatter, метод, используемый для наблюдения за активностью атак типа «отказ в обслуживании» в Интернете, основан на использовании злоумышленниками подмены IP-адреса для своей эффективности.
Использование пакетов с ложным исходным IP-адресом не всегда свидетельствует о злых умыслах. Например, при тестировании производительности веб-сайтов могут быть созданы сотни или даже тысячи «виртуальных пользователей», каждый из которых выполняет тестовый сценарий для тестируемого веб-сайта, чтобы имитировать, что произойдет, когда система перейдет в «живую». и большое количество пользователей одновременно входят в систему.
Поскольку каждый пользователь обычно имеет свой IP-адрес, коммерческие продукты для тестирования (такие как HP LoadRunner, WebLOAD и другие) могут использовать подмену IP-адреса, что позволяет каждому у пользователя также есть собственный «обратный адрес».
Конфигурация и службы, уязвимые для IP-спуфинга:
Фильтрация пакетов - это одна из средств защиты от атак с подменой IP . Шлюз в сеть обычно выполняет входящую фильтрацию, то есть блокирует пакеты извне сети с адресом источника внутри сети. Это предотвращает подмену адреса внутренней машины внешним злоумышленником. В идеале шлюз также должен выполнять фильтрацию исходящего трафика для исходящих пакетов, которая является блокировкой пакетов изнутри сети с адресом источника, который не находится внутри. Это не позволяет злоумышленнику в сети, выполняющему фильтрацию, запускать атаки с подменой IP-адреса на внешние машины. Система обнаружения вторжений (IDS) - это обычное использование фильтрации пакетов, которая использовалась для защиты сред для обмена данными по сети и подходам IDS на основе хоста.
Также рекомендуется разрабатывать сетевые протоколы и службы так, чтобы они не полагались на исходный IP-адрес для аутентификации.
Некоторые протоколы верхнего уровня обеспечивают собственную защиту от атак с подменой IP. Например, Протокол управления передачей (TCP) использует порядковые номера, согласованные с удаленным компьютером, чтобы гарантировать, что прибывающие пакеты являются частью установленного соединения. Так как злоумышленник обычно не видит никаких ответных пакетов, необходимо угадать порядковый номер, чтобы перехватить соединение. Однако плохая реализация во многих старых операционных системах и сетевых устройствах означает, что порядковые номера TCP можно предсказать.
Термин спуфинг также иногда используется для обозначения подделки заголовка, вставки ложной или вводящей в заблуждение информации в электронное письмо или netnews заголовки. Фальсифицированные заголовки используются для того, чтобы ввести получателя или сетевые приложения в заблуждение относительно источника сообщения. Это распространенный метод спамеров и споргеров, которые хотят скрыть происхождение своих сообщений, чтобы их не отследили.
