IP address spoofing

Azt a folyamatot, amikor az IP-csomagok esetén módosítjuk a forrás IP-címet, IP address spoofingnak vagy IP spoofingnak hívjuk. Ennek célja lehet a csomagot küldő személy azonosságának elrejtése, vagy egy másik számítógépes rendszer megszemélyesítése.

Az adatok küldésének alapvető eljárása az internetes hálózaton, és más számítógépes hálózatok között az Internet Protocol. Az IP csomagok fejléce egyebek közt tartalmazza a forrás numerikus címét és a forrás címét. Normál esetben erről a címről küldték a csomagot. Ha a fejléc megváltoztatásával, valaki egy hamis címet ad meg, akkor úgy tűnhet mintha egy másik gépről érkezett volna a csomag. A célgép fogadja a módosított csomagot és egy választ küld az abban megadott IP (tehát a módosított, valótlan) címre, ami azt jelenti, hogy ezt a rendszert főleg akkor alkalmazzák amikor az esetleges támadó nem törődik a célgépről jövő válassszal, vagy valamilyen más módon jut a válaszhoz. A hackerek általában megtalálják a lehetőséget hogy megtekintsék vagy átirányítsák a választ a saját gépükre. A leggyakoribb eset, amikor a támadó módosított címe ugyan azon a LAN-on vagy WAN-on van. Ennél fogva a támadóknak hozzáférése van a gépekhez.

Az IP spoofingot leggyakrabban a szolgáltatásmegtagadással járó támadások (DoS, DDoS) esetén használják. Ebben az esetben a cél az, hogy kezelhetetlenül nagy hálózati forgalmat hozzanak létre, ekkor a támadó természetesen nem törődik az általa küldött csomagokra érkező válasszal, tehát az IP spoofing pont megfelel erre a célra. Ennek a módszernek számos előnye van. Először is nehéz kiszűrni. Úgy tűnik mintha minden csomag más címről érkezett volna, így a támadó címe rejtve marad. Azok a szolgáltatásblokkoló támadások, amik IP spoofingot használnak az egész IP területről véletlenszerűen választanak címet, ám az összetettebb spoofing rendszerek el tudják kerülni az elérhetetlen vagy a router által nem használt címeket. A botnetek hatékonyságából kifolyólag (gyorsabb, automatikus) az IP spoofing mára már kezdi elveszíteni jelentőségét a szolgáltatásmegtagadással járó támadások körében, de a hackereknek mint lehetséges eszköz (a spoofing) mindmáig rendelkezésükre áll. A DoS elleni védelmek, amik a forrás IP érvényességén alapszanak, problémába ütközhetnek a módosított IP-vel rendelkező csomagok esetében. A Backscatter (az áldozat gépének módosított címekre küldött válasza) segítségévél megállapíthatjuk a támadó spoofing használatának hatékonyságát. (Annál hatékonyabb a spoofing, minél szélesebb intervallumból használ IP-címeket)

Az IP spoofing olyan esetben is használható, amikor a behatolók hatástalanítani akarják az olyan hálózatvédelmi folyamatokat, mint az IP-cím alapján történő azonosítás. Ez a fajta támadás eléggé nehéz távoli hálózatok ellen, mivel ez több ezer csomag módosítását jelentené egyszerre. Nagyon hatékony viszont „bizalmas” hálózaton belüli gépek közt. Például, mindennapos dolog bizonyos cégeknél, hogy a belső rendszerek (gépek) „megbíznak” egymásban, így a kezelőnek a bejelentkezéshez nincs szüksége felhasználónévre vagy jelszóra, feltéve hogy csatlakoznak egy másik gépről a belső hálózatra (és már be vannak jelentkezve). Az IP spoofingot egy ilyen hálózaton belül használva a támadó a célgéphez könnyedén hozzáférhet, hitelesítés nélkül.

Konfigurációk és szolgáltatások amik sebezhetőek az IP spoofing által:

• RPC (Remote Procedure Call services)
• Bármely szolgáltatás, ami IP-címen alapuló ellenőrzést használ
• X Window System (röviden X11 vagy X)
• Az R szolgáltatások mint: rlogin, rsh stb.

Az IP spoofing-támadások ellen az egyik használható módszer a packet filtering. A gatewayt az internet felé általában ingress filteringgel védik, ami azt jelenti, hogy a hálózaton kívülről jövő csomagot csak akkor hagyja jóvá a szolgáltató, ha az megbízható, hálózaton belüli címről érkezik. Ez meggátolja, hogy a hálózaton kívülről spoofinggal hozzáférjenek egy hálózaton belüli géphez. Ideális esetben a gateway rendelkezik egress filteringgel is a kimenő csomagokra vonatkozóan, ami blokkolja az olyan kimenő csomagokat, amiknek a forráscíme nem található a hálózaton belül. Ez meggátolja a hálózaton belüli támadót abban hogy a hálózaton kívüli gép ellen spoofing jellegű műveletet hajtson végre.

Ezenkívül még ajánlott olyan hálózati protokollok és szolgáltatások tervezése, melyeknél nem csak a forrás IP valódiságára fog alapulni a védelem.

Néhány upper layer protocol biztosítani tudja magának a védelmet az IP spoofing ellen. Például a Transmission Control Protocol (TCP) számsorozatokat rendel távoli gépekhez, hogy meggyőződhessen arról, hogy egy kívülről érkező csomag biztosan az elfogadott hálózatból származik-e. Ezek a szekvenciális számok a csatlakozást követően a válaszcsomagban érkeznek, így mivel a támadó általában nem látja a válaszcsomagokat muszáj a számsort kitalálnia, hogy csatlakozzon a hálózathoz. A régebbi operációs rendszerek és hálózati eszközök gyenge képességeiből kifolyólag némely esetben ezek a TCP-számsorok könnyen kitalálhatóak.

A spoofing kifejezést néha az e-mailek és a netnewsok fejlécének meghamisítására is értik. A meghamisított headerek arra jók, hogy megtéveszék a címzettet (levél esetén) vagy az internetes alkalmazásokat az üzenet forrását illetően (netnews esetén). Ez a spam és sporg (meghamisított fejlécű hatalmas mennyiségű hamis cikk küldése a Netnewsra) használók gyakori módszere, hogy ne lehessen őket nyomon követni.

• Router

• RFC 1948, Defending Against Sequence Number Attacks, May 1996

• ANA Spoofer Project: State of IP Spoofing and Client Test

• Ez a szócikk részben vagy egészben az IP address spoofing című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.