IP address spoofing

A Wikipédiából, a szabad enciklopédiából

Azt a folyamatot, amikor az IP-csomagok esetén módosítjuk a forrás IP-címet, IP address spoofingnak vagy IP spoofingnak hívjuk. Ennek célja lehet a csomagot küldő személy azonosságának elrejtése, vagy egy másik számítógépes rendszer megszemélyesítése.

Háttér[szerkesztés | forrásszöveg szerkesztése]

Az adatok küldésének alapvető eljárása az internetes hálózaton, és más számítógépes hálózatok között az Internet Protocol. Az IP csomagok fejléce egyebek közt tartalmazza a forrás numerikus címét és a forrás címét. Normál esetben erről a címről küldték a csomagot. Ha a fejléc megváltoztatásával, valaki egy hamis címet ad meg, akkor úgy tűnhet mintha egy másik gépről érkezett volna a csomag. A célgép fogadja a módosított csomagot és egy választ küld az abban megadott IP (tehát a módosított, valótlan) címre, ami azt jelenti, hogy ezt a rendszert főleg akkor alkalmazzák amikor az esetleges támadó nem törődik a célgépről jövő válassszal, vagy valamilyen más módon jut a válaszhoz. A hackerek általában megtalálják a a lehetőséget hogy megtekintsék vagy átirányítsák a választ a saját gépükre. A leggyakoribb eset, amikor a támadó módosított címe ugyan azon a LAN-on vagy WAN-on van. Ennél fogva a támadóknak hozzáférése van a gépekhez.

Felhasználások[szerkesztés | forrásszöveg szerkesztése]

Az IP spoofingot leggyakrabban a szolgáltatásmegtagadással járó támadások (DoS, DDoS) esetén használják. Ebben az esetben a cél az, hogy kezelhetetlenül nagy hálózati forgalmat hozzanak létre, ekkor a támadó természetesen nem törődik az általa küldött csomagokra érkező válasszal, tehát az IP spoofing pont megfelel erre a célra. Ennek a módszernek számos előnye van. Először is nehéz kiszűrni. úgy tűnik mintha minden csomag más címről érkezett volna, így a támadó címe rejtve marad. Azok a szolgáltatásblokkoló támadások, amik IP spoofingot használnak az egész IP területről véletlenszerűen választanak címet, ám az összetettebb spoofing rendszerek el tudják kerülni az elérhetetlen vagy a router által nem használt címeket. A botnetek hatékonyságából kifolyólag (gyorsabb, automatikus) az IP spoofing mára már kezdi elveszíteni jelentőségét a szolgáltatásmegtagadással járó támadások körében, de a hackereknek mint lehetséges eszköz (a spoofing) mindmáig rendelkezésükre áll. A DoS elleni védelmek, amik a forrás IP érvényességén alapszanak, problémába ütközhetnek a módosított IP-vel rendelkező csomagok esetében. A Backscatter (az áldozat gépének módosított címekre küldött válasza) segítségévél megállapíthatjuk a támadó spoofing használatának hatékonyságát. (Annál hatékonyabb a spoofing, minél szélesebb intervallumból használ IP-címeket)

Az IP spoofing olyan esetben is használható, amikor a behatolók hatástalanítani akarják az olyan hálózatvédelmi folyamatokat, mint az IP-cím alapján történő azonosítás. Ez a fajta támadás eléggé nehéz távoli hálózatok ellen, mivel ez több ezer csomag módosítását jelentené egyszerre. Nagyon hatékony viszont „bizalmas” hálózaton belüli gépek közt. Például, mindennapos dolog bizonyos cégeknél, hogy a belső rendszerek (gépek) „megbíznak” egymásban, így a kezelőnek a bejelentkezéshez nincs szüksége felhasználónévre vagy jelszóra, feltéve hogy csatlakoznak egy másik gépről a belső hálózatra (és már be vannak jelentkezve). Az IP spoofingot egy ilyen hálózaton belül használva a támadó a célgéphez könnyedén hozzáférhet, hitelesítés nélkül.

Szolgáltatások amiknek gyenge pontja lehet az IP spoofing[szerkesztés | forrásszöveg szerkesztése]

Konfigurációk és szolgáltatások amik sebezhetőek az IP spoofing által:

  • RPC (Remote Procedure Call services)
  • Bármely szolgáltatás, ami IP-címen alapuló ellenőrzést használ
  • X Window System (röviden X11 vagy X)
  • Az R szolgáltatások mint: rlogin, rsh stb.

Védelem a spoofing ellen[szerkesztés | forrásszöveg szerkesztése]

Az IP spoofing-támadások ellen az egyik használható módszer a packet filtering. A gatewayt az internet felé általában ingress filteringgel védik, ami azt jelenti, hogy a hálózaton kívülről jövő csomagot csak akkor hagyja jóvá a szolgáltató, ha az megbízható, hálózaton belüli címről érkezik. Ez meggátolja, hogy a hálózaton kívülről spoofinggal hozzáférjenek egy hálózaton belüli géphez. Ideális esetben a gateway rendelkezik egress filteringgel is a kimenő csomagokra vonatkozóan, ami blokkolja az olyan kimenő csomagokat, amiknek a forráscíme nem található a hálózaton belül. Ez meggátolja a hálózaton belüli támadót abban hogy a hálózaton kívüli gép ellen spoofing jellegű műveletet hajtson végre.

Ezenkívül még ajánlott olyan hálózati protokollok és szolgáltatások tervezése, melyeknél nem csak a forrás IP valódiságára fog alapulni a védelem.

Upper layer-ek[szerkesztés | forrásszöveg szerkesztése]

Néhány upper layer protocol biztosítani tudja magának a védelmet az IP spoofing ellen. Például a Transmission Control Protocol (TCP) számsorozatokat rendel távoli gépekhez, hogy meggyőződhessen arról, hogy egy kívülről érkező csomag biztosan az elfogadott hálózatból származik-e. Ezek a szekvenciális számok a csatlakozást követően a válaszcsomagban érkeznek, így mivel a támadó általában nem látja a válaszcsomagokat muszáj a számsort kitalálnia, hogy csatlakozzon a hálózathoz. A régebbi operációs rendszerek és hálózati eszközök gyenge képességeiből kifolyólag némely esetben ezek a TCP-számsorok könnyen kitalálhatóak.

Egyéb definíciók[szerkesztés | forrásszöveg szerkesztése]

A spoofing kifejezést néha az emailek és a netnewsok fejlécének meghamisítására is értik. A meghamisított headerek arra jók, hogy megtéveszék a címzettet (levél esetén) vagy az internetes alkalmazásokat az üzenet forrását illetően (netnews esetén). Ez a spam és sporg (meghamisított fejlécű hatalmas mennyiségű hamis cikk küldése a Netnewsra) használók gyakori módszere, hogy ne lehessen őket nyomon követni.

Lásd még[szerkesztés | forrásszöveg szerkesztése]

Források[szerkesztés | forrásszöveg szerkesztése]

  • RFC 1948, Defending Against Sequence Number Attacks, May 1996

Külső hivatkozások[szerkesztés | forrásszöveg szerkesztése]