Что такое спуфинг атака. Спуфинг: что это такое. Смотреть что такое "IP-спуфинг" в других словарях

Неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями.

Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга - так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга. Гарантированным методом защиты от подмены IP-адреса является сопоставление MAC-адреса (Ethernet кадр) и IP-адреса (заголовок протокола IP) отправителя.

IP-спуфинг – это подмена адреса отправителя, одного из полей IP-заголовка, методом записи другого значения. Сложность заключается в том, что машина, получив заголовок с таким адресом, отправит ответ на этот адрес, а не на адрес крэкера. В случае с TCP-соединением необходимо получить ответ от адресата для установки соединения с ним. При установке TCP-соединения важен так называемый ISN (Initial Sequence Number) - начальный порядковый номер. Во время установки соединения между машинами передается порядковый номер клиента, обозначаемый как ISNc, a также передается ISN сервера, как ISNs. Рассмотрим установку соединения:

1. клиент отправляет TCP-пакет с установленным флагом SYN , также он выбирает ISNc.
2. сервер увеличивает на единицу ISNc и отправляет его обратно вместе со своим ISNs.
3. клиент отвечает пакетом ACK , содержащим ISNs, увеличенный на единицу.

Когда крэкер пытается установить TCP-соединение с подделанным IP-адресом, сервер отправляет компьютеру А пакет SYN-ACK, содержащий его ISN. Так как компьютер А не отправлял серверу пакет SYN, он ответит пакетом RST для прерывания неизвестного соединения. Взломщику остается дождаться когда компьютер А будет выключен или перезагружен. Крэкер не сможет увидеть ISN, отправленный одной машиной к другой. Этот ISN ему нужен на третьем шаге, когда он должен будет увеличить его на 1 и отправить. Атакующий должен угадать ISN. В старых операционных системах (ОС) было очень легко угадать ISN - он увеличивался на единицу с каждым соединением. Современные ОС используют механизм, который предотвращает угадывание ISN. Современные сервисы используют для аутентификации имя пользователя и пароль и передают данные в зашифрованном виде, поэтому в наше время отпала всякая необходимость в IP-спуфинге.

Wikimedia Foundation . 2010 .

Смотреть что такое "IP-спуфинг" в других словарях:

Сущ., кол во синонимов: 2 кибератака (2) мистификация (6) Словарь синонимов ASIS. В.Н. Тришин. 2013 … Словарь синонимов

Спуфинг - (spoofing): имитация другого пользователя или сетевого ресурса посредством использования их идентификаторов (учетная запись, IP адрес)... Источник: ГОСТ Р ИСО/МЭК 18028 1 2008. Национальный стандарт Российской Федерации. Информационная технология … Официальная терминология

спуфинг - 3.43 спуфинг (spoofing): Имитация другого пользователя или сетевого ресурса посредством использования их идентификаторов (учетная запись, IP адрес). Источник … Словарь-справочник терминов нормативно-технической документации

- … Википедия

- (от англ. spoof мистификация) это метод изменения MAC адреса сетевого устройства. Это метод позволяет обойти список контроля доступа к серверам, маршрутизаторам, скрыть компьютер, что может нарушить работоспособность сети. Содержание… … Википедия

- (от англ. spoof мистификация) метод изменения MAC адреса сетевого устройства, позволяющий обойти список контроля доступа к серверам, маршрутизаторам, либо скрыть компьютер, что может нарушить работоспособность сети. Содержание 1… … Википедия

Predator разведывательный и ударный БПЛА ВВС США Беспилотный летательный аппарат (БПЛА, также иногда сокращается как БЛА; в просторечии иногда используется название «дрон», от англ … Википедия

Атака TCP Reset, «фальшивые TCP Reset», «сбросы TCP», «спуфинг пакетов TCP reset» способ манипулирования интернет соединениями. В одних случаях, так действуют злоумышленники, в других легитимные пользователи. Содержание 1 Технические… … Википедия

В узком смысле слова в настоящее время под словосочетанием понимается «Покушение на систему безопасности», и склоняется скорее к смыслу следующего термина Крэкерская атака. Это произошло из за искажения смысла самого слова «хакер». Хакерская… … Википедия

Безопасность в беспроводных динамических сетях это состояние защищённости информационной среды беспроводных динамических сетей. Содержание 1 Особенности беспроводных динамических сетей … Википедия

Книги

• Интернет для чайников , Джон Р. Левин, Маргарет Левин-Янг. В наше время Интернет прочно вошел в повседневную жизнь и по популярности уже превзошел телевидение. Даже телепередачи теперь можно смотреть по Интернету. Эта книга поможет вам подключиться к…

Тактикой выдачи себя за кого-то в целях получения доступа к конфиденциальным данным или банковским счетам успешно пользуются не только преступники в реальном мире, но и их коллеги по цеху в виртуальном пространстве. Данная практика носит название спуфинг - собирательная категория, включающая в себя понятия спуфинга IP адресов (отправка сообщений на компьютеры с использованием IP-адреса доверенного источника), email спуфинг (подделка заголовка писем для маскировки истинного отправителя) и DNS спуфинг (изменение настроек сервера DNS для переадресации доменного имени на IP адрес злоумышленников).

Как работает спуфинг?

Спуфинг - это технический прием выдачи себя за другое лицо, чтобы обмануть сеть или конкретного пользователя с целью вызвать доверие в надежность источника информации. К примеру, хакеры посредством email спуфинга могут ввести пользователя в заблуждение относительно подлинности отправителя и получить доступ к конфиденциальным данным. Или они могут попытаться применить технику спуфинга IP и DNS-запросов, чтобы обмануть сеть пользователя и переадресовать его на мошеннические сайты, маскирующиеся под настоящие, в результате чего компьютер пользователя будет заражен.

Как распознать спуфинг?

Наиболее просто распознать email-спуфинг вследствие того, что непосредственной мишенью является сам пользователь. Любое сообщение эл. почте, в котором от пользователя требуется личная информация, может быть попыткой спуфинга, в особенности, если запрашиваются учетные данные. Запомните, ни одна надежная частная или государственная организация не запрашивает персональные данные таким путем. Обратите внимание на адрес отправителя, чтобы убедиться в его легитимности. Тем не менее, пользователь практически никогда не узнает, что он стал жертвой IP или DNS-спуфинга, хотя привычка обращать пристальное внимание на детали и изменения привычного поведения сайта могут оказаться чрезвычайно полезны. Если сайт или его поведение вызывают малейшее сомнение, лучше отказаться от совершения запланированной операции, чтобы сохранить данные и финансовые средства в безопасности.

Как устранить спуфинг?

Спуфинг заключается в маскировке истинного источника, поэтому его не так просто "устранить". Обезопасить себя можно лишь следуя здравому смыслу и соблюдая базовые правила безопасной работы в сети, например, не при каких условиях не сообщая свои персональные данные по эл. почте, даже если репутация отправителя не вызывает сомнения.

Как предупредить спуфинг

• Не отвечайте на сообщения, в которых вас просят прислать свои персональные или учетные данные
• Внимательно проверяйте адрес отправителя
• Обращайте внимание на странности в поведении или отличия в деталях привычных вам сайтов

Обезопасьте себя от спуфинга

С одной стороны, защита от спуфинга может заключаться в следовании базовым принципам безопасной работы в Интернете. Однако вы можете сделать значительно больше в целях собственной безопасности. Прежде всего, вы можете доверить защиту своего ПК и хранимых на нем данных мощному антивирусному решению, например, одному из разрабатываемых компанией Avast, которые надежно защищают от мошеннических сайтов и блокируют вирусы, пытающиеся проникнуть в вашу сеть.

IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

· Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

· Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным «сетевым гражданином»). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Энциклопедичный YouTube

1 / 3

Teknik IP Spoofing dalam Membajak Website

2. Беспроводные сети.Ядро стека tcp/ip.

Субтитры

Описание

Для злоумышленника базовый принцип атаки заключается в фальсификации собственных IP-пакетов, в которых изменяется, среди прочего, IP-адрес источника. Атака IP-спуфинг часто называется «слепой подменой» (Blind Spoofing) . Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти машине крэкера , так как был изменен исходящий адрес. Однако все-таки существуют два метода получения ответов:

1. Маршрутизация от источника (): в протоколе IP существует возможность маршрутизации от источника, которая позволяет задавать маршрут для ответных пакетов. Этот маршрут представляет собой набор IP-адресов маршрутизаторов, через которые должен проследовать пакет. Для крэкера достаточно предоставить маршрут для пакетов до маршрутизатора, им контролируемого. В наше время большинство реализаций стека TCP/IP отбраковывают пакеты с маршрутизацией от источника;
2. Перемаршрутизация (Re-routing): если маршрутизатор использует протокол RIP , то его таблицы можно изменить, присылая ему RIP-пакеты с новой информацией о маршрутах. С помощью этого крэкер добивается направления пакетов на подконтрольный ему маршрутизатор.

Применение атаки

1. клиент отправляет TCP-пакет с установленным флагом SYN , также он выбирает ISNc (Initial Sequence Number клиента, Sequence Number).
2. сервер увеличивает на единицу ISNc и отправляет его обратно вместе со своим ISNs (Initial Sequence Number сервера, Acknowledgement Number), а так же флагами SYN+ACK .
3. клиент отвечает пакетом ACK , содержащим ISNs, увеличенный на единицу.

Применяя IP-spoofing, крэкер не сможет увидеть ISNs, так как ответ от сервера ему не придет. ISNs ему нужен на третьем шаге, когда он должен будет увеличить его на 1 и отправить. Чтобы установить соединение от имени чужого IP, атакующий должен угадать ISNs. В старых операционных системах (ОС) было очень легко угадать ISN - он увеличивался на единицу с каждым соединением. Современные ОС используют механизм, который предотвращает угадывание ISN. Современные сервисы используют для аутентификации имя пользователя и пароль и передают данные в зашифрованном виде.

SYN-флуд

Разновидность DoS-атаки . Злоумышленник посылает SYN-запросы на удаленный сервер, подменяя адрес отправителя. Ответный SYN+ACK отправляется на несуществующий адрес, в результате в очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений, описанной в 1996 году группой CERT , согласно которой очередь для таких подключений была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут подключений - достаточно продолжительным (по RFC 1122 - 3 минуты).

DNS усиление

Другая разновидность DoS-атаки. Атакующий компьютер посылает запросы на DNS-сервер , указывая в качестве адреса отправителя - IP атакуемого компьютера. Ответ DNS-сервера превышает объем запроса в несколько десятков раз, что усиливает вероятность успешной DoS-атаки.

TCP hijacking

Единственными идентификаторами, по которым конечный хост может различать TCP-абонентов и TCP-соединения, являются поля Sequence Number и Acknowledge Number. Зная эти поля и используя подмену IP адреса источника пакета на IP-адрес одного из абонентов, атакующий может вставить любые данные, которые приведут к разрыву соединения, к состоянию ошибки, либо же будут выполнять какую-либо функцию во благо атакующего. Жертва может даже не заметить этих манипуляций.

Аутентификация на основе IP-адреса

Этот тип атаки наиболее эффективен там, где существуют доверительные отношения между машинами. Например, в некоторых корпоративных сетях внутренние системы доверяют друг другу, и пользователи могут войти без имени пользователя или пароля при условии, что машина пользователя находится в той же локальной сети. Подменив соединение из доверенной машины, злоумышленник может получить доступ к целевой машине без аутентификации. Известный пример успешной атаки -