Jump to content

Подмена IP-адреса

Пример сценария подмены IP-адреса

В сетях компьютерных подмена IP-адреса или подмена IP — это создание Интернет-протокола (IP) пакетов с ложным IP-адресом источника с целью выдать себя за другую вычислительную систему. [1]

Предыстория [ править ]

Основным протоколом для отправки данных через сеть Интернет и многие другие компьютерные сети является Интернет-протокол (IP). Протокол определяет, что каждый IP-пакет должен иметь заголовок , который содержит (помимо прочего) IP-адрес отправителя пакета. IP-адрес источника обычно является адресом, с которого был отправлен пакет, но адрес отправителя в заголовке может быть изменен, чтобы получателю казалось, что пакет пришел из другого источника.

Протокол требует, чтобы принимающий компьютер отправил ответ на исходный IP-адрес, поэтому подмена в основном используется, когда отправитель может предвидеть ответ сети или не заботится об ответе.

Исходный IP-адрес предоставляет лишь ограниченную информацию об отправителе. Он может предоставлять общую информацию о регионе, городе и населенном пункте, когда пакет был отправлен. Он не предоставляет информацию о личности отправителя или используемого компьютера.

Приложения [ править ]

Подмена IP-адреса, включающая использование доверенного IP-адреса, может использоваться сетевыми злоумышленниками для обхода мер сетевой безопасности, таких как аутентификация на основе IP-адресов. Этот тип атаки наиболее эффективен там, где между машинами существуют доверительные отношения. Например, в некоторых корпоративных сетях внутренние системы доверяют друг другу, поэтому пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другого компьютера во внутренней сети, что потребует от них уже входа в систему. Подменяя соединение с доверенного компьютера, злоумышленник в той же сети может получить доступ к целевому компьютеру без аутентификации.

Подмена IP-адреса чаще всего используется при атаках типа «отказ в обслуживании» . [2] где цель состоит в том, чтобы наполнить цель огромным объемом трафика, а злоумышленник не заботится о получении ответов на атакующие пакеты. Пакеты с поддельными IP-адресами сложнее фильтровать, поскольку кажется, что каждый поддельный пакет исходит с другого адреса, и они скрывают истинный источник атаки. Атаки типа «отказ в обслуживании», использующие подмену, обычно случайным образом выбирают адреса из всего пространства IP-адресов, хотя более сложные механизмы подмены могут избежать немаршрутизируемых адресов или неиспользуемых частей пространства IP-адресов. Распространение крупных ботнетов делает спуфинг менее важным при атаках типа «отказ в обслуживании», но злоумышленники обычно имеют спуфинг в качестве инструмента, если они хотят его использовать, поэтому защита от атак типа «отказ в обслуживании», основанная на достоверности исходного IP-адреса адрес в пакетах атаки может иметь проблемы с поддельными пакетами.

При DDoS-атаках злоумышленник может решить подменить исходный IP-адрес случайно сгенерированными адресами, поэтому компьютер-жертва не сможет отличить поддельные пакеты от законных пакетов. Ответы затем будут отправлены на случайные адреса, которые не попадают куда-то конкретно. Такие пакеты в никуда называются обратным рассеянием , и существуют сетевые телескопы, отслеживающие обратное рассеяние, чтобы измерить статистическую интенсивность DDoS-атак в Интернете с течением времени. [3]

Законное использование [ править ]

Использование пакетов с ложным IP-адресом источника не всегда является свидетельством злого умысла. Например, при тестировании производительности веб-сайтов могут быть созданы сотни или даже тысячи «vusers» (виртуальных пользователей), каждый из которых выполняет тестовый сценарий для тестируемого веб-сайта, чтобы смоделировать то, что произойдет, когда система заработает «вживую». и большое количество пользователей входят в систему одновременно.

Поскольку каждый пользователь обычно имеет свой собственный IP-адрес, коммерческие продукты тестирования (такие как HP LoadRunner , WebLOAD и другие) могут использовать подмену IP, что также позволяет каждому пользователю иметь собственный «обратный адрес».

Подмена IP-адреса также используется при балансировке нагрузки на стороне сервера. Он позволяет балансировщику нагрузки распределять входящий трафик, но не обязательно находиться на обратном пути от серверов к клиенту. Это экономит сетевой переход через коммутаторы и балансировщик нагрузки, а также нагрузку на обработку исходящих сообщений на балансировщике нагрузки. Выходные данные обычно содержат больше пакетов и байтов, поэтому экономия значительна. [4] [5]

для подмены уязвимы IP Сервисы

Конфигурация и службы, уязвимые для подмены IP:

Защита от спуфинга [ править ]

Фильтрация пакетов является одной из мер защиты от атак с подменой IP-адреса . Шлюз сети обычно выполняет входную фильтрацию , то есть блокировку пакетов извне сети с адресом источника внутри сети. Это предотвращает подделку адреса внутренней машины внешним злоумышленником. В идеале шлюз также должен выполнять выходную фильтрацию исходящих пакетов, то есть блокировать пакеты изнутри сети с исходным адресом, находящимся за пределами сети. Это не позволяет злоумышленнику внутри сети, выполняющему фильтрацию, запускать атаки с подменой IP-адреса на внешние машины. Система обнаружения вторжений (IDS) — это распространенное применение фильтрации пакетов, которое используется для защиты сред при совместном использовании данных через сеть и подходы IDS на основе хоста. [ нужна ссылка ]

Также рекомендуется проектировать сетевые протоколы и службы таким образом, чтобы они не полагались на исходный IP-адрес для аутентификации.

Верхние слои [ править ]

Некоторые протоколы верхнего уровня имеют собственную защиту от атак с подменой IP. Например, протокол управления передачей (TCP) использует порядковые номера, согласованные с удаленным компьютером, чтобы гарантировать, что поступающие пакеты являются частью установленного соединения. Поскольку злоумышленник обычно не видит ответных пакетов, для перехвата соединения необходимо угадать порядковый номер. Однако плохая реализация во многих старых операционных системах и сетевых устройствах означает, что порядковые номера TCP можно предсказать.

Другие определения [ править ]

Термин «спуфинг» также иногда используется для обозначения подделки заголовков , вставки ложной или вводящей в заблуждение информации в заголовки электронной почты или сетевых новостей . Фальсифицированные заголовки используются, чтобы ввести получателя или сетевые приложения в заблуждение относительно происхождения сообщения. Это распространенный метод спамеров и споргеров , которые хотят скрыть происхождение своих сообщений, чтобы их не отслеживали.

См. также [ править ]

Ссылки [ править ]

  1. ^ Танасе, Мэтью (10 марта 2003 г.). «IP-спуфинг: введение» . Симантек . Проверено 25 сентября 2015 г.
  2. ^ Вирарагаван, Пракаш; Ханна, Далал; Пардеде, Эрик (14 сентября 2020 г.). «NAT++: эффективная архитектура Micro-NAT для защиты от атак IP-спуфинга в корпоративной сети» . Электроника . 9 (9): 1510. doi : 10.3390/electronics9091510 . ISSN   2079-9292 .
  3. ^ «GRIN – современное влияние IP-спуфинга на систему связи, его обнаружение и предотвращение» . www.grin.com . Проверено 21 июля 2020 г.
  4. ^ «Сетевой диспетчер: маршрутизатор подключений для масштабируемых интернет-сервисов» .
  5. ^ «Диспетчерский компонент» . ИБМ .

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=IP_address_spoofing&oldid=1221433616"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: cd528a7e23578640a24f255251d6583a__1714419660
URL1:https://arc.ask3.ru/arc/aa/cd/3a/cd528a7e23578640a24f255251d6583a.html
Заголовок, (Title) документа по адресу, URL1:
IP address spoofing - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)