Спуфинг


Кроме сниффинга, другим фундаментальным компонентом многочисленных атак является изменение или маскировка исходного адреса системы - методика, обычно называемая спуфингом IP-адреса.

Он полезен для атакующего, который не хочет, чтобы его действия можно было выследить: в данном случае будет казаться, что пакеты исходят из той сети, чьим адресом он пользуется. Вдобавок спуфинг помогает взламывать различные приложения, в особенности те, что легкомысленно полагаются лишь на IP-адреса при идентификации или фильтрации.

Nmap поддерживает спуфинг, посылая пакеты, которые кажутся исходящими с адреса системы-приманки. Кроме того, Dsniff поддерживает его при атаке с помощью dnsspoof. Пакеты с ответами DNS, посланные партнерской программой dnsspoof из состава Dsniff, содержат исходный адрес сервера.

Приведенные элементарные примеры указывают на его пользу при атаках. Рассмотрим методы более подробно, сосредоточившись на трех его разновидностях, применяемых в различных сценариях нападения: простое изменение айпи-адреса, подрыв команд системы и спуфинг исходной маршрутизации.


Первая разновидность подмены - простой спуфинг



Самый простой метод подмены - заменить IP-адрес атакующего адресом другой системы. Хакер способен перенастроить свою систему так, чтобы иметь другой.

Или, вместо того чтобы переустанавливать IP-адрес для всей системы, атакующий запустит единственную программу, генерирующую пакеты с необходимым. Nmap и Dsniff делают это, создавая специальные пакеты, которые кажутся исходящими от другой системы, без изменения сетевой конфигурации исходной машины.

Данная разновидность подмены IP-адреса замечательно эффективна при достижении ограниченных целей. Если атакующий хочет послать пакеты, которые выглядят так, будто исходят с другого компьютера, изменения исходного айпи адреса сгенерированных пакетов будет вполне достаточно. Если атакующий стремится оставить в тени источник переполнения cpa сети или иной атаки, простая подмена отлично срабатывает. Тем не менее, описанная методика имеет два существенных ограничения.

Простая подмена действенна там, где требуется отправка трафика адресату, но не получение каких-либо ответов. Из-за путевой маршрутизации все ответы на подмененные пакеты будут посланы настоящей системе, которой притворился атакующий. Поэтому простая генерация пакетов с подмененным IP-адресом не позволит атакующему иметь интерактивные сеансы с адресатом, ведь все ответные пакеты будут передаваться другой системе.

Кроме того, подмена любого сервиса на основе TCP вызовет трехэтапное квитирование, придающее делу особенно неприятный для атакующего оборот.


Защита от IP спуфинга



Спуфинг


Имеется множество хороших правил, соблюдая которые можно избежать как рассмотренных нами в этом разделе атак подменой IP-адреса, так и других типов спуфинга. Способы защиты, описываемые далее, не относятся к взаимоисключающим или самодостаточным сценариям. Для защиты своей сети вы должны использовать все нижеследующие способы обороны.

Прежде всего, нужно удостовериться, что первоначальные порядковые номера, генерируемые вашими ТСР-стеками, труднопредсказуемы. Для этого установите самый последний набор патчей безопасности от изготовителя операционной системы.

Вы можете проверить предсказуемость порядковых номеров путем сканирования системы при помощи сканера. Если он показывает, что порядковые номера легко предугадать, вам определенно следует подумать об обновлении своей системы. Если проведенное обновление не устраняет предсказуемости порядковых номеров, обратитесь с данной проблемой к изготовителю операционной системы.

Кроме того, на UNIX-системах, в частности, избегайте г-команд - самого слабого места, пользуясь их защищенными аналогами, подобными SSH, или даже виртуальной частной сетью для безопасного доступа.

Точно так же при оценке предложений продавцов программного обеспечения или создании собственных программ вы должны удостовериться в том, что соответствующее приложение не применяет IP-адреса для идентификации. Идентификация должна основываться на паролях партнерок, криптографических методах (типа инфраструктур открытого ключа или Kerberos) или других методах, которые могут «привязать» сеанс к отдельному пользователю.

На граничных маршрутизаторах и брандмауэрах, соединяющих вашу организацию с Internet и бизнес-партнерами, нужно установить «противообманные» пакетные фильтры. «Противообманный» фильтр очень прост : фильтрующее устройство сбрасывает все пакеты, входящие с интерфейса, у которых исходный адрес сети на другом интерфейсе. Эти пакеты указывают как минимум на неправильную настройку, а возможно, и на атаку спуфингом.

При установке «противообманных» фильтров на Internet-шлюзе вы должны поставить как входные, так и выходные фильтры. Входные фильтры - очевидная потребность, потому что вы вряд ли желаете, чтобы кто-то присылал обманные пакеты в вашу сеть. Хотя выходные фильтры встречаются гораздо реже, они критически важны для DMZ-сетей Internet.

Вы же не хотите, чтобы в случае захвата атакующим какой-либо системы в вашей DMZ (например, сетевого Internet- сервера или сервера DNS) он имел возможность продолжить атаку против других организаций при помощи обманных адресов. Поэтому настройте маршрутизатор или брандмауэр, фильтрующие трафик для DMZ, так, чтобы сбрасывать исходящие пакеты, отправленные не с адресов DMZ.

Несомненно, в данном случае вы не повышаете безопасность собственного узла, а помогаете предотвратить атаки против других, будучи, таким образом, хорошим гражданином и снижая свою потенциальную ответственность перед законом.
Кроме того, не пропускайте прямомаршрутизированные пакеты через сетевые шлюзы. Вы можете легко настроить свои маршрутизаторы, используя команду типа no ip sourcerout (которая срабатывает на маршрутизаторах производства Cisco) для сброса всех прямомаршрутизированных пакетов в шлюзе. Но где же устанавливать фильтры для прямых маршрутов? Безусловно, в Internet-шлюзах - в брандмауэрах и граничных маршрутизаторах. Здесь не над чем ломать голову!

Наконец, вы вправе отфильтровывать все прямомаршрутизированные пакеты в своей внутренней сети, блокируя их в каждом маршрутизаторе. Вы наверняка столкнетесь с ожесточенным сопротивлением специалистов по управлению сетями, которые стоят за прямую маршрутизацию, потому что некоторые из их инструментальных средств восстановления пользуются прямомаршрутизированными пакетами, чтобы обходить сетевые проблемы.

Как бы то ни было, учитывая простоту атаки спуфингом с прямой маршрутизацией, безусловно, стоит предусмотреть фильтрацию прямых маршрутов в вашей внутренней сети.


Автор: pimka21

Еще советуем:
  • Защита от DDOS атак
  • Как работают снифферы
  • Оптимизация изображений
  • Безопасность компьютера: обман IDS
  • Защита от переполнения буфера памяти
  • Данную страницу никто не комментировал. Вы можете стать первым.
    RSS
                   
           
    Введите символы или вычислите пример:
    captcha