Теоретические основы спуфинга

Малоизвестные подробности: разработка систем спуфинга Ранее уже были обсуждены средства антиспуфинга, начиная от простых и заканчивая сложными, но по-прежнему не был получен ответ на вопрос «Как на самом деле создаются системы спуфинга?». Часто ответ на этот вопрос

29.1. Определение Web–страницы Web–страница (или Web–документ) состоит из тегов HTML. Когда броузер загружает Web–страницу, тега определяют способ отображения этой страницы на экране. Web–страница может состоять из многих элементов, включая ссылки (которые позволяют связывать

Определение Инструменты компонентного тестирования в большей степени, чем какие-либо другие инструменты, выражают наше представление о том, что понимать под «выполненной» работой. Когда бизнес-аналитики и специалисты по контролю качества создают спецификацию,

Черкасов Денис Юрьевич / Cherkasov Denis Yurievich
студент
Иванов Вадим Вадимович / Ivanov Vadim Vadimovich
студент
Кафедра компьютерной и информационной безопасности,
Институт кибернетики,
Московский институт радиотехники электроники и автоматики,
Федеральное государственное бюджетное образовательное
учреждение высшего образования
Московский технологический университет,
г. Москва

IP-spoofing

Преступники уже давно используют тактику маскировки своей личности - от сокрытия псевдонимов до блокировки идентификатора вызывающего. Неудивительно, что преступники, которые реализуют свои гнусные действия в сетях и компьютерах, используют такие методы. IP-спуфинг является одной из наиболее распространенных форм онлайнового камуфляжа. При IP-спуфинге злоумышленник получает несанкционированный доступ к компьютеру или сети путем «подмены» IP-адреса этого компьютера, указывая на то, что вредоносное сообщение поступило с доверенного компьютера. В этой статье мы рассмотрим концепции IP-спуфинга: почему это возможно, как это работает, для чего оно используется и как защититься от него.

История

Концепция IP-спуфинга первоначально обсуждалась в академических кругах в 1980-х годах. В то время это было теоретической дискуссией, пока Роберт Моррис, сын которого написал первый компьютерный червь, не обнаружил слабости в системе безопасности TCP-протокола. Стивен Белловин подробно рассмотрел проблему уязвимости в безопасности набора протоколов TCP / IP. Печально известная атака Кевина Митника на машине Цутому Симомура использовала методы IP-спуфинга и прогнозировала последовательности TCP. Хотя популярность таких атак уменьшилась, спуфинг еще активно реализуется.

Техническая дискуссия

Чтобы полностью понять, как осуществляются эти атаки, необходимо изучить структуру набора протоколов TCP / IP.

Интернет-протокол - IP-адрес

Интернет-протокол (IP) - это сетевой протокол, работающий на уровне 3 (сети) модели OSI, без установления соединения, то есть отсутствует информация о состоянии транзакции, которая используется для маршрутизации пакетов по сети. Кроме того, не существует метода, гарантирующего правильную доставку пакета в пункт назначения.

Изучая заголовок IP-пакета, мы видим, что первые 12 байтов (или верхние 3 строки заголовка) содержат различную информацию о пакете. Следующие 8 байтов (следующие 2 строки) содержат IP-адреса источника и назначения. Используя один из нескольких инструментов, злоумышленник может легко изменить эти адреса - в частности, поле «адрес источника». Важно отметить, что каждая дейтаграмма отправляется независимо от всех остальных из-за строения IP.

Протокол управления передачей - TCP

IP можно рассматривать как оболочку маршрутизации для 4 уровня (транспорт), которая содержит протокол управления передачей (TCP). В отличие от IP, TCP ориентирован на соединение. Это означает, что участники сеанса TCP должны сначала создать соединение, используя трехстороннее рукопожатие (SYN-SYN / ACK-ACK), затем обновить друг друга через последовательности и подтверждения. Этот «разговор» обеспечивает надежную передачу данных, отправитель получает подтверждения от получателя после каждого обмена пакетами.

Заголовок TCP сильно отличается от заголовка IP. Мы имеем дело с первыми 12 байтами TCP-пакета, которые содержат информацию о порте и последовательности. Подобно IP-дейтаграмме, TCP-пакеты могут управляться с помощью программного обеспечения. Исходный и конечный порты обычно зависят от используемого сетевого приложения (например, HTTP через порт 80). Для понимания спуфинга важно обращать внимание на номера последовательности и подтверждения. Данные, содержащиеся в этих полях, обеспечивают надежную доставку пакетов, определяя, нужно ли повторно отправлять пакет. Номер последовательности - это номер первого байта в текущем пакете, который имеет отношение к потоку данных. Номер подтверждения, в свою очередь, содержит значение следующего ожидаемого порядкового номера в потоке. Это соотношение подтверждает, что надлежащие пакеты были получены. Этот протокол совсем не похож на IP, поскольку состояние транзакции тщательно контролируется.

Последствия проектирования TCP / IP

У нас есть обзор форматов TCP / IP, давайте рассмотрим последствия. Очевидно, что очень легко маскировать адрес источника, манипулируя IP-заголовком. Этот метод используется по очевидным причинам и применяется в нескольких описанных ниже атаках. Другим следствием, специфичным для TCP, является прогнозирование последовательности номеров, что может привести к захвату сеанса. Этот метод основан на IP-спуфинге, поскольку создается сессия, хотя и ложная.

Спуфинг-атаки

Существует несколько вариантов атак, которые успешно используют IP-спуфинг. Хотя некоторые из них относительно стары, другие очень уместны в отношении текущих проблем безопасности.

Спуфинг «не вслепую»

Этот тип атаки происходит, когда злоумышленник находится в той же подсети, что и жертва. Номера последовательности и подтверждения можно получить, устраняя потенциальную сложность их расчета. Захват сеанса достигается путем искажения потока данных установленного соединения, а затем восстановления его на основе правильной последовательности и номеров подтверждения с атакующей машины. Используя эту технику, злоумышленник может эффективно обойти любые меры аутентификации, предпринятые для построения соединения.

Спуфинг «вслепую»

Это более сложная атака, поскольку номера последовательностей и подтверждения недоступны. Несколько пакетов отправляются на целевую машину, чтобы перебирать порядковые номера. Сегодня большинство ОС реализуют генерацию случайных порядковых номеров, что затрудняет их точное прогнозирование. Однако если номер последовательности был скомпрометирован, данные могут быть отправлены на целевое устройство. Несколько лет назад многие машины использовали службы аутентификации на основе хоста. Грамотно созданная атака может слепо встраивать требуемые данные в систему (новую учетную запись пользователя), предоставляя полный доступ злоумышленнику, который выдавал себя за доверенный хост.

Атака «Man In the Middle»

Известная также как атака типа «человек посередине» (MITM). В этих атаках враждебная сторона перехватывает связь между двумя дружественными сторонами. Вредоносный хост затем управляет потоком связи и может устранить или изменить информацию, отправленную одним из исходных участников, не зная ни исходного отправителя, ни получателя. Таким образом, злоумышленник может обмануть жертву в раскрытии конфиденциальной информации путем «подмены» личности оригинального отправителя, которому предположительно доверяет получатель.

Атака, направленная на получение отказа в обслуживании

IP-спуфинг применяется в одной из самых сложных атак для защиты - «отказ в обслуживании» или DoS. Поскольку хакеры имеют дело только с потреблением полосы пропускания и ресурсов, им не нужно беспокоиться о правильном завершении транзакций. Скорее они хотят наводнить жертву как можно большим количеством пакетов за короткий промежуток времени. Когда в атаке участвует несколько взломанных хостов, принимающих все отправленные поддельные трафики, практически невозможно это быстро заблокировать.

Неправильные представления об IP-спуфинге

Хотя некоторые из описанных выше атак немного устарели, например, захват сеанса для служб проверки подлинности на основе хоста, IP-спуфинг по-прежнему распространен в сканировании сети, а также наводнениях отказа в обслуживании. Однако этот метод не предоставляет анонимный доступ в Интернет, что является распространенным заблуждением для тех, кто не знаком с этой практикой. Любое подобное подталкивание за пределами простых наводнений относительно продвинуто и используется в очень конкретных случаях, таких как уклонение и захват соединений.

Защита от спуфинга

Существует несколько мер предосторожности, которые можно принять для ограничения рисков IP-спуфинга в вашей сети, таких как фильтрация на маршрутизаторе, шифрование и аутентификация. Внедрение шифрования и аутентификации уменьшит вероятность подмены. Понимание того, как и почему используются атаки с использованием спуфинга, в сочетании с несколькими простыми методами предотвращения, может помочь защитить вашу сеть от этих вредоносных методов клонирования и взлома.

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Спуфинг - это вид сетевой атаки, при котором злоумышленник выдает себя за другое лицо. Мошенник стремится обмануть сеть или конкретного пользователя, чтобы убедить его в надежности источника информации.

Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA

Источники спуфинг атак вводят пользователя в заблуждение о подлинности отправителя. В сложившейся доверительной связи они корректируют поведение жертвы, например, получают доступ к личной информации.

Как это работает

Процесс спуфинга заключается в фальсификации адреса отправителя с целью убедить удаленную систему в том, что она получает пакеты от иного, отличного от реального, источника.

Классификации спуфинг-атак

В зависимости от сетевого протокола, на который направлен вектор атаки, выделяют несколько видов спуфинга: IP-, DNS-, ARP-, MAC- и GPS-спуфинг.

IP-спуфинг

Представляет собой перенумерацию IP-адресов в пакетах, посылаемых на атакуемый сервер. В отправляемом пакете указывается тот адрес, которому доверяет получатель. В результате жертва получает данные, необходимые хакеру.

Такой механизм обычно реализуется в ТСР- и UDP-протоколах. Минимизировать вероятность такой атаки можно с помощью сетевых фильтров. Они не пропустят пакеты с заведомо вредоносных интерфейсов. Полностью же исключить IP-спуфинг можно методом сравнения MAC- и IP-адресов отправителя.

Данный вид спуфинга может быть полезным. Например для тестирования производительности ресурса создаются сотни виртуальных пользователей с ложными IP-адресами.

DNS-спуфинг

Механизм DNS-спуфинга похож на предыдущий, однако подмена происходит на уровне DNS-протокола.

ARP-спуфинг

ARP-спуфинг - это перехват трафика за счет уязвимости ARP-протоколов. Из-за отсутствия проверок подлинности запросов и ответов, ARP-протоколы пропускают исходящий трафик на сервер злоумышленника. В результате хакер получает секретные сведения: логины, пароли, номера кредитных карт и т.д.). Популярность этого метода обусловлена большим количеством бесплатных спуфинг-программ, совершающих атаку.

MAC-спуфинг

В процессе MAC-спуфинга на вход маршрутизатора подается ложный или скрытый в сети MAC-адрес. Используется как для распространения вредоносных ПО, так и в мирных целях, например чтобы протестировать производительность серверов.

GPS-спуфинг

Цель GPS-спуфинга - обмануть GPS-приемник посредством передачи сигнала, на порядок мощнее чем тот, который передает сам спутник. Основная область применения – дезориентация военного транспорта.

В зависимости от способа реализации выделяют следующие виды спуфинга.

Спуфинг не вслепую

Возможен, если взломщик находится с жертвой в одной подсети. В этом случае злоумышленник получает все необходимые номера последовательности и подтверждения. Сеанс захватывается из-за искажения потока данных в текущем соединении. В дальнейшем он восстанавливается с помощью имеющейся последовательности номеров и подтверждений. Такой подход позволяет преодолеть любую аутентификацию.

Спуфинг вслепую

Находясь в другой подсети, взломщик не имеет доступа к номерам последовательности и подтверждениям. Он перебивает нормальный порядок нумерации, отправляя на сервер жертвы один за другим несколько пакетов. В результате нарушенные номера отправляются на целевой сервер. Требуемые данные встраиваются в новую учетную запись жертвы, открывая хакеру необходимый доступ.

Атака Man in middle

Злоумышленник перехватывает связь между двумя дружественными серверами. Управляя полученным потоком, взломщик может как угодно распоряжаться полученной информацией: удалять, изменять, перенаправлять.

Области применения

Спуфинг-атаки применяются для следующих целей:

• Спуфинг источника отсылки. Существует ряд закрытых ресурсов (платные сайты, порнографические страницы), предоставляющие свой доступ лишь определенным пользователям. Принадлежность к этим страницам определяется заголовком HTTP referer. В процессе спуфинг-атаки можно изменить данный заголовок, открыв таким образом доступ к скрытым материалам.
• Замусоривание файлообменных страниц. Правообладатели прибегают к этой атаке для изменения своего контента в файлообменниках. Таким образом они предупреждают загрузку из этих источников.
• Спуфинг исходящих звонков. Механизм данной атаки лег в основу технологий, которые искажают идентификатор исходящего звонка. В результате обманутый абонент видит ложные имена и номера. К такому обману нередко прибегают телефонные мошенники, использующие при звонках фальшивые удостоверения личности. В условиях сложившейся ситуации информация Caller ID утрачивает былую актуальность, а возможность правового контроля телефонных звонков существенно затрудняется.
• Спуфинг голосовой почты. Технология позволяет выдать номер вызова голосовой почты за другой, отличный от реального. Применяется, как правило, в недобросовестных целях.
• Спуфинг почты. Подмена данных об отправителе электронного письма пользуется популярностью среди многочисленных спамеров и провоцирует такую проблему, как возвращенные письма.
• Получение отказа в обслуживании (DoS). Реализуется путем наводнения сервера жертвы огромным количеством пакетов в минимальный промежуток времени. В результате целевой сервер не справляется с нагрузкой, что приводит к отказу в обслуживании.

Как бороться со спуфингом

К основным мерам, которые минимизируют возможность совершения таких атак относятся фильтрация на маршрутизаторе, шифрование и аутентификация. Если соблюдать эти меры осторожности, то можно существенно снизить вероятность подмены и обеспечить защиту от спуфинга.

Энциклопедичный YouTube

1 / 3

Teknik IP Spoofing dalam Membajak Website

2. Беспроводные сети.Ядро стека tcp/ip.

Субтитры

Описание

Для злоумышленника базовый принцип атаки заключается в фальсификации собственных IP-пакетов, в которых изменяется, среди прочего, IP-адрес источника. Атака IP-спуфинг часто называется «слепой подменой» (Blind Spoofing) . Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти машине крэкера , так как был изменен исходящий адрес. Однако все-таки существуют два метода получения ответов:

1. Маршрутизация от источника (): в протоколе IP существует возможность маршрутизации от источника, которая позволяет задавать маршрут для ответных пакетов. Этот маршрут представляет собой набор IP-адресов маршрутизаторов, через которые должен проследовать пакет. Для крэкера достаточно предоставить маршрут для пакетов до маршрутизатора, им контролируемого. В наше время большинство реализаций стека TCP/IP отбраковывают пакеты с маршрутизацией от источника;
2. Перемаршрутизация (Re-routing): если маршрутизатор использует протокол RIP , то его таблицы можно изменить, присылая ему RIP-пакеты с новой информацией о маршрутах. С помощью этого крэкер добивается направления пакетов на подконтрольный ему маршрутизатор.

Применение атаки

1. клиент отправляет TCP-пакет с установленным флагом SYN , также он выбирает ISNc (Initial Sequence Number клиента, Sequence Number).
2. сервер увеличивает на единицу ISNc и отправляет его обратно вместе со своим ISNs (Initial Sequence Number сервера, Acknowledgement Number), а так же флагами SYN+ACK .
3. клиент отвечает пакетом ACK , содержащим ISNs, увеличенный на единицу.

Применяя IP-spoofing, крэкер не сможет увидеть ISNs, так как ответ от сервера ему не придет. ISNs ему нужен на третьем шаге, когда он должен будет увеличить его на 1 и отправить. Чтобы установить соединение от имени чужого IP, атакующий должен угадать ISNs. В старых операционных системах (ОС) было очень легко угадать ISN - он увеличивался на единицу с каждым соединением. Современные ОС используют механизм, который предотвращает угадывание ISN. Современные сервисы используют для аутентификации имя пользователя и пароль и передают данные в зашифрованном виде.

SYN-флуд

Разновидность DoS-атаки . Злоумышленник посылает SYN-запросы на удаленный сервер, подменяя адрес отправителя. Ответный SYN+ACK отправляется на несуществующий адрес, в результате в очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений, описанной в 1996 году группой CERT , согласно которой очередь для таких подключений была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут подключений - достаточно продолжительным (по RFC 1122 - 3 минуты).

DNS усиление

Другая разновидность DoS-атаки. Атакующий компьютер посылает запросы на DNS-сервер , указывая в качестве адреса отправителя - IP атакуемого компьютера. Ответ DNS-сервера превышает объем запроса в несколько десятков раз, что усиливает вероятность успешной DoS-атаки.

TCP hijacking

Единственными идентификаторами, по которым конечный хост может различать TCP-абонентов и TCP-соединения, являются поля Sequence Number и Acknowledge Number. Зная эти поля и используя подмену IP адреса источника пакета на IP-адрес одного из абонентов, атакующий может вставить любые данные, которые приведут к разрыву соединения, к состоянию ошибки, либо же будут выполнять какую-либо функцию во благо атакующего. Жертва может даже не заметить этих манипуляций.

Аутентификация на основе IP-адреса

Этот тип атаки наиболее эффективен там, где существуют доверительные отношения между машинами. Например, в некоторых корпоративных сетях внутренние системы доверяют друг другу, и пользователи могут войти без имени пользователя или пароля при условии, что машина пользователя находится в той же локальной сети. Подменив соединение из доверенной машины, злоумышленник может получить доступ к целевой машине без аутентификации. Известный пример успешной атаки -

IP-спуфинг происходит в том случае, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами: хакер может воспользоваться или IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример -- атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений -- если главная задача заключается в получении от системы важного файла, то ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью перечисленных ниже мер.

• * Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Правда, это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса; если же санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
• * Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным сетевым гражданином). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Данный тип фильтрации, известный под названием RFC 2827, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Отметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес -- 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом -- тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает подобные атаки бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.