IP address spoofing
Azt a folyamatot, amikor az IP-csomagok esetén módosítjuk a forrás IP-címet, IP address spoofingnak vagy IP spoofingnak hívjuk. Ennek célja lehet a csomagot küldő személy azonosságának elrejtése, vagy egy másik számítógépes rendszer megszemélyesítése.
Háttér[szerkesztés]
Az adatok küldésének alapvető eljárása az internetes hálózaton, és más számítógépes hálózatok között az Internet Protocol. Az IP csomagok fejléce egyebek közt tartalmazza a forrás numerikus címét és a forrás címét. Normál esetben erről a címről küldték a csomagot. Ha a fejléc megváltoztatásával, valaki egy hamis címet ad meg, akkor úgy tűnhet mintha egy másik gépről érkezett volna a csomag. A célgép fogadja a módosított csomagot és egy választ küld az abban megadott IP (tehát a módosított, valótlan) címre, ami azt jelenti, hogy ezt a rendszert főleg akkor alkalmazzák amikor az esetleges támadó nem törődik a célgépről jövő válassszal, vagy valamilyen más módon jut a válaszhoz. A hackerek általában megtalálják a lehetőséget hogy megtekintsék vagy átirányítsák a választ a saját gépükre. A leggyakoribb eset, amikor a támadó módosított címe ugyan azon a LAN-on vagy WAN-on van. Ennél fogva a támadóknak hozzáférése van a gépekhez.
Felhasználások[szerkesztés]
Az IP spoofingot leggyakrabban a szolgáltatásmegtagadással járó támadások (DoS, DDoS) esetén használják. Ebben az esetben a cél az, hogy kezelhetetlenül nagy hálózati forgalmat hozzanak létre, ekkor a támadó természetesen nem törődik az általa küldött csomagokra érkező válasszal, tehát az IP spoofing pont megfelel erre a célra. Ennek a módszernek számos előnye van. Először is nehéz kiszűrni. Úgy tűnik mintha minden csomag más címről érkezett volna, így a támadó címe rejtve marad. Azok a szolgáltatásblokkoló támadások, amik IP spoofingot használnak az egész IP területről véletlenszerűen választanak címet, ám az összetettebb spoofing rendszerek el tudják kerülni az elérhetetlen vagy a router által nem használt címeket. A botnetek hatékonyságából kifolyólag (gyorsabb, automatikus) az IP spoofing mára már kezdi elveszíteni jelentőségét a szolgáltatásmegtagadással járó támadások körében, de a hackereknek mint lehetséges eszköz (a spoofing) mindmáig rendelkezésükre áll. A DoS elleni védelmek, amik a forrás IP érvényességén alapszanak, problémába ütközhetnek a módosított IP-vel rendelkező csomagok esetében. A Backscatter (az áldozat gépének módosított címekre küldött válasza) segítségévél megállapíthatjuk a támadó spoofing használatának hatékonyságát. (Annál hatékonyabb a spoofing, minél szélesebb intervallumból használ IP-címeket)
Az IP spoofing olyan esetben is használható, amikor a behatolók hatástalanítani akarják az olyan hálózatvédelmi folyamatokat, mint az IP-cím alapján történő azonosítás. Ez a fajta támadás eléggé nehéz távoli hálózatok ellen, mivel ez több ezer csomag módosítását jelentené egyszerre. Nagyon hatékony viszont „bizalmas” hálózaton belüli gépek közt. Például, mindennapos dolog bizonyos cégeknél, hogy a belső rendszerek (gépek) „megbíznak” egymásban, így a kezelőnek a bejelentkezéshez nincs szüksége felhasználónévre vagy jelszóra, feltéve hogy csatlakoznak egy másik gépről a belső hálózatra (és már be vannak jelentkezve). Az IP spoofingot egy ilyen hálózaton belül használva a támadó a célgéphez könnyedén hozzáférhet, hitelesítés nélkül.
Szolgáltatások amiknek gyenge pontja lehet az IP spoofing[szerkesztés]
Konfigurációk és szolgáltatások amik sebezhetőek az IP spoofing által:
- RPC (Remote Procedure Call services)
- Bármely szolgáltatás, ami IP-címen alapuló ellenőrzést használ
- X Window System (röviden X11 vagy X)
- Az R szolgáltatások mint: rlogin, rsh stb.
Védelem a spoofing ellen[szerkesztés]
Az IP spoofing-támadások ellen az egyik használható módszer a packet filtering. A gatewayt az internet felé általában ingress filteringgel védik, ami azt jelenti, hogy a hálózaton kívülről jövő csomagot csak akkor hagyja jóvá a szolgáltató, ha az megbízható, hálózaton belüli címről érkezik. Ez meggátolja, hogy a hálózaton kívülről spoofinggal hozzáférjenek egy hálózaton belüli géphez. Ideális esetben a gateway rendelkezik egress filteringgel is a kimenő csomagokra vonatkozóan, ami blokkolja az olyan kimenő csomagokat, amiknek a forráscíme nem található a hálózaton belül. Ez meggátolja a hálózaton belüli támadót abban hogy a hálózaton kívüli gép ellen spoofing jellegű műveletet hajtson végre.
Ezenkívül még ajánlott olyan hálózati protokollok és szolgáltatások tervezése, melyeknél nem csak a forrás IP valódiságára fog alapulni a védelem.
Upper layer-ek[szerkesztés]
Néhány upper layer protocol biztosítani tudja magának a védelmet az IP spoofing ellen. Például a Transmission Control Protocol (TCP) számsorozatokat rendel távoli gépekhez, hogy meggyőződhessen arról, hogy egy kívülről érkező csomag biztosan az elfogadott hálózatból származik-e. Ezek a szekvenciális számok a csatlakozást követően a válaszcsomagban érkeznek, így mivel a támadó általában nem látja a válaszcsomagokat muszáj a számsort kitalálnia, hogy csatlakozzon a hálózathoz. A régebbi operációs rendszerek és hálózati eszközök gyenge képességeiből kifolyólag némely esetben ezek a TCP-számsorok könnyen kitalálhatóak.
Egyéb definíciók[szerkesztés]
A spoofing kifejezést néha az e-mailek és a netnewsok fejlécének meghamisítására is értik. A meghamisított headerek arra jók, hogy megtéveszék a címzettet (levél esetén) vagy az internetes alkalmazásokat az üzenet forrását illetően (netnews esetén). Ez a spam és sporg (meghamisított fejlécű hatalmas mennyiségű hamis cikk küldése a Netnewsra) használók gyakori módszere, hogy ne lehessen őket nyomon követni.
Kapcsolódó szócikkek[szerkesztés]
Források[szerkesztés]
- RFC 1948, Defending Against Sequence Number Attacks, May 1996
Külső hivatkozások[szerkesztés]
Fordítás[szerkesztés]
- Ez a szócikk részben vagy egészben az IP address spoofing című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
