it-swarm.com.de

Wie einfach ist IP-Spoofing wirklich?

Ich habe viel über IP-Spoofing gelesen, bin mir aber nicht sicher, wie einfach das wirklich ist. Angenommen, ich bin in Spanien. Kann ich eine Verbindung zu einem Server in den USA mit einer IP-Adresse herstellen, die Mexiko zugewiesen ist? Weigern sich die Router nicht einfach, meinen Datenverkehr weiterzuleiten? Ich weiß, dass Sie keine Antwort erhalten, da diese nach Mexiko weitergeleitet wird, aber ich bin verwirrt, wie Sie den US-Server überhaupt mit der falschen IP kontaktieren können.

35
felix

Eigentlich kannst du nicht. Wann immer Sie IP-Verkehr benötigen, um bidirektional zu sein, ist IP-Spoofing nicht sinnvoll. Der kontaktierte Server würde nicht auf Sie antworten, sondern auf eine andere Person, die von Ihnen gefälschte Adresse.

IP-Spoofing ist dann normalerweise nur "nützlich", um die Kommunikation zu stören - Sie senden schädliche Pakete und möchten nicht, dass sie auf sich selbst zurückgeführt werden können.

In bestimmten Situationen können Sie ein Double Spoofing verwenden, um ein Maß für die Bidirektionalität zu ermitteln. Nehmen wir zum Beispiel an, wir kennen ein System mit schlechten Sequenzgeneratoren. Wenn Sie ein Paket an dieses senden, antwortet es mit einem Paket, das eine monoton inkrementierende Nummer enthält. Wenn niemand außer Ihnen eine Verbindung zum System herstellen würde, würden Sie 1, 2, 3, 4 ... erwarten.

Nehmen wir nun weiter an, dass Sie daran interessiert sind, ob das System ein anderes auf bestimmte Pakete antwortet (z. B. wenn Sie einen Port-Scan ausführen), und Sie möchten einige Informationen erhalten, möchten dies aber nicht Zielsystem zu haben Ihre reale Adresse. Sie können ein gefälschtes Paket an dieses System senden, das vorgibt, von der schlecht sequenzierenden Maschine zu stammen.

Nun gibt es drei Möglichkeiten: Das Zielsystem antwortet nicht, es antwortet oder es greift aktiv an und (z. B.) scannt die vorgetäuschte Quelle, um das Warum und Warum dieses ersten Pakets zu bestimmen.

Sie scannen - ohne Spoofing - die schlecht sequenzierende Maschine (PSM). Wenn niemand außer Ihnen eine Verbindung hergestellt hat, was bedeutet, dass der Zielcomputer nicht auf das PSM geantwortet hat, erhalten Sie 1-2-3-4-5. Wenn es einmal geantwortet hat, erhalten Sie 1-3-5-7 (die Pakete 2, 4 und 6 wurden vom PSM als Antwort auf die TM-PSM-Antworten an das TM an das TM gesendet gefälscht Pakete von Ihnen an das TM. Wenn das TM mehr Verbindungen hergestellt hat, erhalten Sie so etwas wie 2-11-17-31 oder so.

Das PSM kennt natürlich Ihre wahre Adresse, das TM jedoch nicht. Auf diese Weise können Sie eine Verbindung fälschen und trotzdem einige Informationen sammeln. Wenn die Sicherheitsstufe des PSM niedrig genug ist, reicht dies (zusammen mit der Tatsache, dass Ihr "Scan" des PSM harmlos ist (hoffentlich) aus, um Konsequenzen für Sie zu vermeiden.

Eine andere Möglichkeit besteht darin, eine Maschine in der Nähe zu fälschen. Sie befinden sich beispielsweise im Netzwerk 192.168.168.0/24, haben die IP-Adresse 192.168.168.192 und haben promiskuitiven Zugriff auf einen anderen Adressraum des Computers, z. B. 192.168.168.168. Sie müssen nur den Router "überzeugen", der sowohl Sie als auch den .168-Computer bedient, dass Sie sind tatsächlich der .168-Computer und diesen offline schalten oder seine Kommunikation unterbrechen (oder warten, bis er offline ist) eigene Gründe, zB ein Kollege, der sich zum Mittagessen abmeldet). Dann werden die Antworten auf die gefälschten .168-Pakete an Ihnen vorbeiziehen, aber solange Sie sie schnüffeln können, während sie vergehen, und die echte .168 nicht in der Lage ist, ein "Das war nicht ich!" Zu senden. Antwort: Von außen scheint die Kommunikation gültig zu sein und zeigt zurück auf die .168-Maschine.

Das ist so, als würde man sich als Nachbar vor der Haustür ausgeben, während diese Wohnung wirklich unbewohnt ist. Sie bestellen etwas per Post, das Paket wird an die Haustür des anderen geliefert, Sie sagen dem Zusteller "Oh ja, Herr Smith wird in einer halben Stunde zurückkommen, ich werde nur für ihn unterschreiben" und das Paket erhalten.

41
LSerni

Angenommen, ich möchte einen Brief an einen Freund in China schreiben. Auf die Rückseite des Umschlags schreibe ich meine Privatadresse in Australien. Wenn ich den Brief im Urlaub in Ägypten poste, würden Sie erwarten, dass der Postdienst meinen Brief in den Papierkorb wirft, da die Absenderadresse möglicherweise gefälscht ist?

Angenommen, ich bin in Spanien. Kann ich eine Verbindung zu einem Server in den USA mit einer IP-Adresse herstellen, die Mexiko zugewiesen ist? Weigern sich die Router nicht einfach, meinen Datenverkehr weiterzuleiten?

Nein, das werden sie nicht. Für den Router ist dies nur ein weiteres legitimes Paket für die USA. Der Datenverkehr wird auf relativ einfache Weise über das Internet geleitet. Keine Partei kontrolliert die gesamte Route oder müsste sich sogar einer bewusst sein. Router sind kaum mehr als ausgefallene Wegweiser. "Nordamerika? Nicht hier. Biegen Sie links ab und fragen Sie an der nächsten Kreuzung erneut."

Bei näherer Betrachtung könnte ein Router in Spanien den Verdacht haben, Daten von Mexiko in die USA erhalten zu haben, aber es wäre eine Verschwendung von Ressourcen, dies zu untersuchen. Jeder Router zeigt einfach weiter in die allgemeine Richtung des Ziels. Schließlich sollte das Paket ankommen. Es sei denn natürlich, der Router ist so konfiguriert, wie Sie es zu erwarten scheinen. es lehnt das Paket insgesamt ab. Das ist sicherlich möglich, aber für niemanden sehr nützlich. Der Router könnte genauso gut seine Arbeit erledigen und damit fertig sein.

10
Marcks Thomas