# Главная
# О библиотеке

# Выбор дистрибутива
преимущества Linux/UNIX | основные дистрибутивы | серверный Linux | BSD | LiveCDs | прочее

# Установка и удаление программ
общие вопросы | каталоги софта | специальные случаи

# Настройка и работа
установка, загрузчики | настройка Linux | консоль | файловые системы | процессы | шеллы, русификация, коммандеры | виртуальные машины, эмуляторы

# X Window и оконные менеджеры
настройка X Window | GNOME | KDE | IceWM и др.

# Работа с текстами
редакторы | офис | шрифты, кодировки и русификация | преобразования текстовых файлов | LaTeX, SGML и др. | словари

# Графика
GIMP | фото | обработка изображений | форматы графических файлов

# Сети, администрирование
общие вопросы | Dialup & PPP | брандмауэры | маршрутизация | работа в Windows-сетях | веб-серверы | Apache | прокси-серверы | сетевая печать | прочее

# Программирование
GCC & GNU make | программирование в UNIX | графические библиотеки | Tcl | Perl | PHP | Java & C# | СУБД | CVS | прочее

# Ядро
# Мультимедиа
# Интернет
# Почта
# Безопасность
# Железо
# Разное

# Linux HowTo (как сделать)
# Книги и руководства
# Материалы на английском языке


IP спуффинг

  Автор: © Kapil Sharma
Перевод: © Роман Шумихин.

 

Спуффинг включает в себя подделку собственного IP адреса, это использование одной машины, чтобы выдать себя за другую. Многие приложения и утилиты в UNIX при идентификации полагаются на IP адрес; для обеспечения безопасности в своих сетях многие разработчики используют контроль доступа, основанный на имени (IP адресе) вызывающего компьютера. IP адрес - это уникальный идентификатор, но в таких ситуациях на него нельзя полагаться, так как его легко подделать.
Чтобы понять процесс спуффинга, сначала я объясню процесс идентификации TCP и IP, а потом как нападающий может проникнуть в вашу сеть.

Сначала клиентская система посылает серверу сообщение SYN (от слова синхронизация). Сервер подтверждает получение SYN сообщения, посылая клиенту сообщение SYN-ACK (подтверждение синхронизации). Клиент завершает процесс установки соединения посылкой сообщения ACK (подтверждение). После этого соединение между клиентом и сервером установлено. Теперь сервер и клиент могут обмениваться службо-специфическими данными.

TCP использует последовательные номера пакетов. Когда между двумя машинами установлен виртуальный канал связи, TCP присваивает каждому пакету номер в качестве идентифицирующего индекса. Обе машины используют этот номер для проверки ошибок и для сообщения друг другу об ошибках.
Rik Farrow в своей статье "Атаки с использованием последовательных номеров (Sequence Number Attacks)" объясняет систему последовательной нумерации пакетов так:

"Последовательный номер используется для подтверждения получения данных. В начале TCP соединения клиент посылает TCP пакет с начальным номером, но не подтверждение. Если на другом конце соединения запущено серверное приложение, сервер посылает в ответ TCP пакет с его собственным начальным номером и подтверждение: начальный номер клиентского пакета + 1. Когда клиентская система получает этот пакет, она должна послать свое собственное подтверждение: начальный последовательный номер сервера + 1."

Поэтому у атакующего есть две проблемы:
1) Он должен подделать исходный адрес.
2) Он должен поддерживать правильную последовательность номеров с объектом атаки.

Вторая задача - самая сложная, потому что, когда сервер устанавливает начальный последовательный номер, атакующий должен послать правильный ответ. Как только атакующий правильно угадает последовательный номер, он сможет синхронизироваться с сервером и установить действительную сессию.

Службы, уязвимые для IP спуффинга:

  • RPC (Remote Procedure Call services) - службы удаленного вызова процедур
  • Любая служба, которая использует идентификацию по IP адресу
  • Система X Window
  • Набор программ на R (rlogin, rsh и т.д.)

Инструменты для TCP и IP спуффинга:
1) Mendax for Linux
легкий в использовании инструмент для угадывания последовательных номеров TCP и обмана rshd. [Текущий URL неизвестен. -Ред.]

2) spoofit.h
хорошо комментированная библиотека для включения функциональности IP спуффинга в ваши программы. [Текущий URL неизвестен. -Ред.]

3) ipspoof
ipspoof - утилита для TCP и IP спуффинга.

4) hunt
hunt - сниффер (программа, которая анализирует сетевой трафик в поисках необходимой пользователю информации), который также имеет многие функции для спуффинга.

5) dsniff
dsniff - набор инструментов для тестирования сетевого аудита и возможности проникновения в сеть. Включает в себя dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf и webspy, который пассивно просматривает сеть в поисках интересных данных (пароли, адреса e-mail, файлы и т.д.). arpspoof, dnsspoof и macof облегчают перехват сетевого трафика.


Меры для предотвращения атак с использованием IP спуффинга:

  • Избегайте идентификации по клиентскому IP адресу. Применяйте шифрование процесса идентификации во всей системе.
  • Сконфигурируйте вашу сеть так, чтобы отвергать пакеты (reject packets) из Сети, IP адрес которой происходит из семейства локальных адресов. Обычно это делается с помощью маршрутизатора.
  • Если вы разрешаете соединения извне с узлами, которым вы доверяете, включите шифрование сессии на маршрутизаторе.

Заключение:
Спуффинг-атаки очень опасны, и их трудно заметить. Сейчас они становятся все более популярными, и единственный способ предотвратить такие атаки - внедрение мер безопасности, таких как шифрование всего процесса идентификации, чтобы обезопасить вашу сеть.

 

Copyright © 2001, Kapil Sharma.
Copying license http://www.linuxgazette.com/copying.html
Published in Issue 63 of Linux Gazette, Mid-February (EXTRA) 2001
Вернуться на главную страницу