Підміна IP-адреси

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Приклад реалізації підміни IP-адрес

Підміна IP-адреси (також IP spoofing) — створення IP-пакетів зі сфальшованою джерельною IP-адресою. Метою є приховування справжнього відправника або знеособлення комп'ютерної системи.[1] Інший спосіб, який відправник може використовувати для анонімності, це проксі-сервер.

Основи[ред. | ред. код]

Основним протоколом передачі даних у Інтернет та багатьох комп'ютерних мережах є Internet Protocol (IP). Протокол визначає, що кожен IP-пакет повинен містити заголовок, який серед іншого містить IP-адресу відправника пакета. Зазвичай у цьому полі зазначена IP-адреса комп'ютера, від якого був відправлений пакет. Однак це значення може бути підмінене так, що отримувач вважатиме, що пакет надійшов з іншого джерела. Протокол вимагає, щоб отримувач надіслав відповідь на адресу відправника, тому підміна IP-адреси використовується у в основному у випадках, коли справжнього відправника не хвилює відповідь.

Застосування[ред. | ред. код]

Підміна IP-адреси, що включає використання надійної IP-адреси, може використовуватися комп'ютерними злочинцями для подолання мережевих заходів безпеки, таких як автентифікація на основі IP-адрес. Цей тип атаки є найбільш ефективним, коли між машинами існують довірчі відносини. Наприклад, в деяких корпоративних мережах прийнято, що внутрішні системи довіряють один одному, так що користувачі можуть входити без використання імені користувача або пароля, якщо вони підключаються з іншого комп'ютера у внутрішній мережі (і тому вони повинні бути вже зареєстровані). Здійснюючи підключення з підміною IP-адреси на IP-адресу довіреного вузла, зловмисник у тій самій мережі може отримати доступ до цільової машини без автентифікації.

Підміна IP-адреси часто використовується у атаках «відмова-у-обслуговуванні» де метою є перевантаження цілі значним обсягом трафіку, тому нападник не піклується про отримання відповідей на пакети атак. Пакунки з підробленими IP-адресами важче фільтрувати, оскільки кожен підроблений пакет, як видається, надходить з іншої адреси, і вони приховують справжнє джерело атаки. Атаки на відмову в обслуговуванні, які використовують підроблення, як правило, випадково вибирають адреси з усього простору IP-адрес, хоча більш складні механізми підробки можуть уникнути нерозподілених адрес або невикористаних частин IP-адресного простору. Розповсюдженість великих бот-мереж робить підроблення менш важливими в атаках на відмову в обслуговуванні, але зловмисники, як правило, використовують підміну IP-адрес як інструмент для збільшення їх ефективності.

Прикладами використання підміни IP-адреси є використання служб DNS[2], NTP[3], memcached[4][5] для посилення атаки. Усі атаки здійснювались шляхом надсилання з контрольованих зловмисником вузлів на вразливі сервери спеціально сформованих UDP-пакетів, у яких IP-адреса відправника була підмінена на IP-адресу жертви. У відповідь на кожен отриманий пакет вразливий сервер формував відповідь, що складалась з кількох UDP-пакетів, які надсилав у відповідності до специфікації протоколу IP на IP-адресу жертви. Таким чином атака підсилювалась у кілька разів.

Backscatter, метод, який використовується для спостереження за активністю DoS-атак в Інтернеті, спирається на використання зловмисниками підміни IP для їх ефективності.

Легальне використання[ред. | ред. код]

IP-пакети з підміненою IP-адресою не завжди є ознакою злочинних намірів: при тестуванні продуктивності веб-сайтів можуть бути створені сотні і навіть тисячі віртуальних користувачів, кожен з яких виконує тестовий сценарій щоб перевірити поведінку системи при одночасному підключенні великої кількості користувачів.

Оскільки зазвичай кожен користувач має власну IP-адресу, комерційні продукти для тестування (такі як HP LoadRunner, WebLOAD, та інші) можуть використовувати підміну IP-адрес, щоб кожен «користувач» мав власну IP-адресу.

Служби, вразливі для підміни IP-адрес[ред. | ред. код]

Служби, вразливі для підміни IP-адрес:

  • RPC (служби Remote procedure call)
  • Будь-які служби, які використовують IP-адреси для автентифікації
  • X Window System
  • Набір служб віддаленого адміністрування без підтримки криптографічних протоколів (rlogin, rsh, та ін.)

Захист від підміни IP-адрес[ред. | ред. код]

На рівні протоколу IP[ред. | ред. код]

Фільтрація пакетів — один з методів захисту від підміни IP-адрес. Мережевий шлюз зазвичай використовує фільтрацію, яка забороняє пересилання пакетів з зовнішніми IP-адресами відправників із локальної мережі. Це не дозволяє зловмиснику реалізувати атаку на зовнішні вузли з локальної мережі. Одночасно забороняється проходження із внутрішніми IP-адресами з зовнішніх мереж та Інтернет. Це не дозволяє зловмиснику реалізувати атаку на внутрішні вузли локальної мережі ззовні.

На вищих рівнях[ред. | ред. код]

У Transmission Control Protocol (TCP) використовуються послідовні номери пакетів, які узгоджуються з віддаленим вузлом мережі при встановленні з'єднання. Оскільки зловмисник зазвичай не бачить пакети з відповідями, необхідно вгадати номери послідовностей для того, щоб перехопити з'єднання. Але погана реалізація генерації номерів послідовностей у багатьох операційних системах призводить до того, що номери послідовностей можна передбачити.

Використання криптографічного захисту[ред. | ред. код]

Використання протоколів з функціями криптографічного захисту (IPsek, SSH, TLS) забезпечує надійний захист. Оскільки зловмисник не знає криптографічних ключів, будь-які сформовані ним IP-пакети не будуть розшифровані або будуть визнані неавтентичними отримувачем і будуть проігноровані.

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Tanase, Matthew (March 11, 2003). IP Spoofing: An Introduction. Symantec. Процитовано September 25, 2015. 
  2. Амплификация DDoS-атак (російською). 
  3. NTP Amplification Attack. 
  4. Carlos Morales (2018-03-05). NETSCOUT Arbor Confirms 1.7 Tbps DDoS Attack; The Terabit Attack Era Is Upon Us. Arbor Netscout. 
  5. Brian Krebs (2018-03-02). Powerful New DDoS Method Adds Extortion. KrebsOnSecurity.