IP-hamisítás (az angol spoof - hoax szóból) -
Egy támadó számára az alapvető támadási elv a saját IP-csomag fejlécének meghamisítása, amelyben többek között a forrás IP-címe is megváltozik. Az IP-hamisítási támadást gyakran "vak hamisításnak" nevezik [1] . Ennek az az oka, hogy a hamisított csomagokra adott válaszok nem érik el a cracker gépét, mert a kimenő cím megváltozott. Azonban továbbra is két módszer létezik a válaszok megszerzésére:
A TCP szállítási (4) protokollnak van egy beépített mechanizmusa a hamisítás megakadályozására - az úgynevezett sorszám és megerősítés (sorozatszám, nyugtázási szám) [1] . Az UDP-protokoll nem rendelkezik ilyen mechanizmussal, ezért a ráépített alkalmazások sebezhetőbbek a hamisítással szemben.
Fontolja meg a TCP-kapcsolat létrehozását ( háromszoros kézfogás ):
Az IP-hamisítás használatával a cracker nem fogja látni az ISN-eket, mivel nem kap választ a szervertől. ISN-ekre van szüksége a harmadik lépésben, amikor 1-gyel kell növelnie, és el kell küldenie. Ahhoz, hogy valaki más IP-címe nevében kapcsolatot létesítsen, a támadónak ki kell találnia az ISN-eket. Régebbi operációs rendszerekben (OS) nagyon könnyű volt kitalálni az ISN-t – minden csatlakozásnál eggyel nőtt. A modern operációs rendszerek olyan mechanizmust használnak, amely megakadályozza az ISN találgatását.
A DoS támadás egy fajtája . A támadó SYN kéréseket küld egy távoli kiszolgálónak, lecserélve a küldő címét. A SYN+ACK válasz egy nem létező címre kerül elküldésre, ennek hatására úgynevezett félig nyitott kapcsolatok jelennek meg a kapcsolati sorban, várva a kliens megerősítését. Egy bizonyos időtúllépés után ezek a kapcsolatok megszakadnak. A támadás a CERT -csoport által 1996-ban leírt, félig nyitott kapcsolatokra vonatkozó operációs rendszer erőforrás-korlátozási sebezhetőségén alapul, amely szerint az ilyen kapcsolatokhoz nagyon rövid volt a sor (például a Solaris legfeljebb nyolc csatlakozást engedélyezett), és a kapcsolat időtúllépése meglehetősen hosszú volt ( RFC 1122 szerint - 3 perc).
Egy másik típusú DoS támadás. A támadó számítógép kéréseket küld a DNS-kiszolgálónak , és a továbbított csomagban a forrás IP-cím mezőjében megadja a támadott számítógép IP-címét. A DNS-kiszolgáló válasza több tucatszor meghaladja a kérés mennyiségét, ami növeli a sikeres DoS-támadás valószínűségét.
Az egyetlen azonosító, amellyel a végállomás megkülönböztetheti a TCP-előfizetőket és a TCP-kapcsolatokat, a Sorozatszám és a Nyugtázási szám mező. Ezen mezők ismeretében és a csomag forrás IP-címének az egyik előfizető IP-címével való helyettesítésével a támadó bármilyen adatot beszúrhat, amely kapcsolat megszakadásához, hibaállapothoz vezet, vagy valamilyen funkciót hajt végre az előfizetők javára. a támadó. Lehet, hogy az áldozat észre sem veszi ezeket a manipulációkat.
Ez a fajta támadás akkor a leghatékonyabb, ha bizalmi kapcsolat van a gépek között. Például egyes vállalati hálózatokban a belső rendszerek megbíznak egymásban, és a felhasználók felhasználónév és jelszó nélkül is bejelentkezhetnek, amennyiben a felhasználó gépe ugyanazon a helyi hálózaton van. Egy megbízható gépről származó kapcsolat meghamisításával a támadó hitelesítés nélkül hozzáférhet a célgéphez. A sikeres támadás híres példája, hogy Kevin Mitnick 1994-ben Tsutomu Shimomura autója ellen használta ( The Mitnick attack ).
A legegyszerűbben úgy ellenőrizheti, hogy a gyanús csomag a megfelelő feladótól érkezett, ha elküldi a csomagot a feladó IP-címére. Általában véletlenszerű IP-címet használnak az IP-hamisításhoz, és valószínű, hogy nem érkezik válasz. Ha igen, érdemes összehasonlítani a fogadott csomagok TTL ( Time to live ) mezőjét. Ha a mezők nem egyeznek, a csomagok különböző forrásokból érkeztek.
Hálózati szinten a támadást részben az átjáró csomagszűrője akadályozza meg. Úgy kell beállítani, hogy ne engedje át azokat a csomagokat, amelyek azokon a hálózati interfészeken keresztül érkeznek, ahonnan nem jöhettek. Például egy külső hálózatból származó csomagok szűrése a hálózaton belüli forráscímmel.
Az IP-címhamisítás elleni védelem egyik legmegbízhatóbb módja a küldő MAC-címének ( Ethernet - keret ) és IP-címének ( IP-protokoll fejléc ) egyeztetése. Például, ha a belső hálózatból származó IP-címmel rendelkező csomagnak van átjáró MAC-címe, akkor ezt a csomagot el kell dobni. A modern hálózati eszközökben a MAC-cím (fizikai cím) megváltoztatása nem jelent problémát.