it-swarm.com.de

Wie werden gefälschte Pakete erkannt?

Meine Annahme :

Wenn eine Firewall so konfiguriert ist, dass sie gefälschte Pakete verwirft, versucht sie, die Quell-IP zu pingen (nicht unbedingt ICMP) und prüft, ob sie zu einem echten Host gehört oder ob sie aktiv ist. Wenn nicht, verwirft sie das Paket.

Meine Frage :

Was passiert, wenn die Quell-IP eines gefälschten Pakets einem echten und Online-Host gehört? Gibt es andere Möglichkeiten, ein gefälschtes Paket zu erkennen?

21
Adi

Ich bin mir zwar sicher, dass es tatsächlich Firewalls gibt, die dies tun können, aber mir sind keine bekannt, die auf diese Weise funktionieren. Es gibt Paket-Spoofing-Erkennungsmechanismen, die sich jedoch tendenziell etwas anders verhalten.

Bogon Filter

A bogon ist als falsche IP-Adresse definiert. Insbesondere ist dies die Liste aller IP-Adressen, die nicht von IANA von einem delegierten RIR zugewiesen wurden. Der beste Weg, um diese Liste zu erhalten, besteht darin, dass Ihre Firewall das Abonnieren eines falschen Dienstes unterstützt. Wenn Sie die Bogon-Filterung in Ihrer Firewall aktivieren, enthält diese tendenziell auch eingehende Pakete, bei denen die Quelladresse als RFC 1918 -Adresse aufgeführt ist.

Es ist auch üblich, nach derselben Regel zu blockieren oder Ihre Bogon-Liste lokal zu bearbeiten, um Ihre lokale Zuordnung einzuschließen. Es wird allgemein als unwahrscheinlich angesehen, dass Ihre internen IP-Adressen am Eingangsport Ihrer Firewall angezeigt werden. Eine Ausnahme bilden alle Geräte von Ihnen, die außerhalb Ihrer Firewall vorhanden sind. Dies würde höchstwahrscheinlich Paketformer, Router oder andere Infrastrukturgeräte einschließen, aber in einigen Fällen können andere Geräte absichtlich extern gelassen werden. Stellen Sie sicher, dass Sie diese von der Scheinliste ausschließen.

MAC-Begrenzung

Für Geräte wie Border Firewalls haben wir im Allgemeinen eine wirklich gute Vorstellung davon, welche physischen Geräte direkt mit ihnen kommunizieren können. Dies sollten wiederum Infrastrukturgeräte wie Packet Shaper, Router usw. sein. Wenn Sie ein DMZ haben, können Sie diese Geräte je nach Ihrer Architektur auch dort sehen. In diesem Fall können wir sie aufzählen Die MAC-Adressen, die sollten direkt mit der Firewall kommunizieren und alle ablehnen können, die nicht auf dieser Liste stehen. Dies hilft übrigens auch dabei, Systeme zu fangen, die in diesem Netzwerksegment landen und nicht sollten.

Bei Firewalls, die möglicherweise für Abteilungen oder in einem transparenten/Bridge-Modus innerhalb eines Netzwerks zum Segmentieren einer Teilmenge von Hosts bereitgestellt werden, kann das Erstellen dieser Listen sehr viel schwieriger sein.

TTL-Analyse

Zwischen zwei Hosts bleibt die Anzahl der Hops zwischen Paketen im Allgemeinen konstant oder ändert sich nur sehr wenig. Wenn sich die TTL dramatisch von einem Paket zum anderen ändert), kann dies leicht ein Parodieversuch sein. Dies erfordert das Speichern weiterer Statusinformationen und ist nicht narrensicher, da die Route könnte ändern, ist aber oft bezeichnend genug.

Routenprüfung

Wenn Sie mehrere aktive Uplinks haben, können Sie auch überprüfen, ob das Paket auf der richtigen Schnittstelle eingeht. Hierfür gibt es einen Standard namens Reverse Path Forwarding ( RPF ). Kurz gesagt, jedes Mal, wenn ein Paket auf einer Schnittstelle empfangen wird, überprüft der Router seine Routing-Tabellen und stellt fest, ob dies die richtige Schnittstelle für diese Quelladresse ist. Das heißt, wenn die Routing-Tabellen besagen, dass für 144.152.10.0/24 bestimmte Pakete über die Schnittstelle ge-0/0/18 übertragen werden und ein Paket von 144.152.10.5 auf der Schnittstelle ge-0/0/20 empfangen wird, ist dies wahrscheinlich der Fall gefälscht und sollte fallen gelassen werden.

18
Scott Pack

Definieren eines gefälschten Pakets

Zunächst einmal gibt es das Konzept des Eigentums an einem IP-Bereich. Ich werde sagen, dass alles, was nicht vom registrierten Eigentümer oder Delegierten eines IP-Blocks von IANA (und den Tochtergesellschaften und den delegierenden ISPs) kommt, eine Parodie ist.

Es geht nur um Routing

Es gibt ein paar Dinge zu beachten, wenn es um Spoofing geht. Das erste ist, dass Sie Spoofing nur in dem Netzwerk verhindern können, in dem ein Paket entsteht. Transitanbieter können aufgrund der Dynamik des Internet-Routings keine Pakete von anderen Transitanbietern filtern. Die gesamte Quellfilterung muss von einer ISP-Ebene stammen. Wenn mein ISP es mir nicht nur erlaubt, Pakete von der mir zugewiesenen Adresse zu senden, bleibt sie draußen, sobald das Pferd sie aus der Scheune entfernt hat.

Der Hauptschutz gegen Spoofing in einem Netzwerk besteht darin, dass die meiste Kommunikation auf einem bidirektionalen Kanal beruht. Insbesondere bei TCP ist es eine Herausforderung, Sequenznummern zu koordinieren. A Papier von 1989 hebt die Grundprobleme hervor, obwohl die meisten modernen Systeme jetzt völlig zufällige Folgenummern erzeugen.

Bogon-Filterung wurde früher zum Herausfiltern bestimmter Adressräume verwendet und gilt in der Tat immer noch für reservierte Adressen. Für IPv4 ist jetzt jedoch der gesamte Adressraum zugewiesen.

Selbst wenn Sie filtern und bidirektionale Kommunikation benötigen, ist nicht garantiert, dass Sie frei von Spoofing sind. Das Routing könnte geändert werden oder Pakete könnten von jedem eingefügt werden, der Zugriff auf Transitrouter hat.

Asymmetrisches Routing verhindert, dass der Pfad eingehender Pakete mit dem ausgehenden Pfad verglichen wird. Dies gilt insbesondere für die gemeinsame Richtlinie Hot Potato Routing . Paketpfade können während einer Konversation auch regelmäßig das Netzwerk wechseln, sodass TTL -Werte ebenfalls sehr variabel sein können. Dies schränkt die Fähigkeit zur Durchführung der Erkennung ein.

Es erfolgt keine Erkennung

Sie können Spoofing für Netzwerke verhindern, die Sie besitzen, indem Sie Adressen ablehnen, die über die falsche Schnittstelle eingehen. Sie können Spoofing durch Personen in Ihrem Netzwerk verhindern, indem Sie nur eine Quelladresse zulassen, die sich in Ihrem Bereich befindet. Ein Mangel an Routing-Fähigkeit für den durchschnittlichen Endbenutzer verhindert die meisten Angriffsszenarien, indem eine bidirektionale Kommunikation verhindert wird. Nichts hindert einen der "großen Jungs" daran, die Möglichkeit zu nutzen, eine IP-Adresse zu verwenden, wenn sie sich im Ankündigungspfad befinden. Viele von ihnen können auch diesen Ankündigungspfad beeinflussen.

Da sich die Dinge so dynamisch ändern können und Sie Pakete erhalten können, die aufgrund eines unterbrochenen Routings keinen Pfad nach Hause haben, gibt es keine einfache Feststellung, ob ein Paket gefälscht ist.

12
Jeff Ferland

Ein gefälschtes Paket ist ein Paket mit einer gefälschten Quell-IP-Adresse. Um ein eingehendes Paket als gefälscht zu erkennen, versuchen Firewalls, "lokale Regeln" anzuwenden: Sie lehnen das Paket ab, wenn es von einer Verbindung stammt, die nominell nicht mit der angeblichen Quelladresse kompatibel ist. Befindet sich eine Firewall beispielsweise zwischen einem internen Netzwerk mit einem bekannten IP-Bereich und dem breiten Internet, lehnt die Firewall ein Paket ab, das von der Verbindung zum Internet stammt, jedoch eine Quelladresse im internen Netzwerkbereich beansprucht.

Mir ist keine Firewall bekannt, die versucht, ICMP-Anforderungen zu senden, um festzustellen, ob der angeblich sendende Host vorhanden ist. Zunächst würde es nicht sagen, ob der besagte Host das Paket wirklich gesendet hat, nur wenn es existiert. Darüber hinaus existieren viele Hosts, blockieren jedoch ICMP-Anforderungen. Wenn zwei Firewalls diese Richtlinie "Ping anwenden, um sicherzustellen, dass der Absender vorhanden ist" anwenden, werden sie wahrscheinlich in eine unglaublich endlose Ping-Pong-Wut geraten.

TCP-Sequenznummern kann als Anti-Spoofing-Maßnahme angesehen werden: Die Verbindung wird erst nach Durchführung des Drei-Wege-Handshakes als "abgeschlossen" betrachtet. Dies funktioniert möglicherweise nur, wenn der Client die Antwort vom Server sehen kann, was bedeutet, dass die Quell-IP-Adresse nicht "zu viel" gefälscht werden kann.

Fazit: Für das gesamte Bild können gefälschte Pakete in der Nähe des Absenders und nicht in der Nähe des Empfängers blockiert werden. ISP sollen gefälschte Versuche ihrer Kunden blockieren. Der 3-Wege-Handshake TCP) verhindert die grundlegende Verwendung von Spoofing.

11
Tom Leek

Unter dem Gesichtspunkt der Berichterstellung können Sie Live-MRTG-Diagramme oder ähnliches ähnlich wie bei der Nagois- oder Wireshark-Verkehrsanalyse die Fälschung effektiv von der Realität unterscheiden, indem Sie den ausgehenden Verkehr zum Zielnetzwerk überprüfen. Spoofing ist im Kontext der Vorhersage von TCP-Sequenznummern und Fenstergröße nicht einfach, so dass die Spoof-Adresse mehr erste Pakete als echte empfangen würde.

0
Saladin