IP-spoofing

Материал из Xgu.ru

IP-spoofing — атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, в качестве обратного адреса IP-адрес хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях.

На сетевом уровне атака частично предотвращается с помощью фильтра пакетов. Он должен быть настроен таким образом, чтобы не пропускать пакеты пришедшие через те сетевые интерфейсы, откуда они прийти не могли.

Грубо говоря, если у нас на одном (внутреннем) интерфейсе стоят адреса 192.168.x.x, а на втором (внешнем) какой-то другой адрес. Вдруг через внешний интерфейс приходит пакет с обратным адресом 192.168.x.x (адресом внутренней сети). Это подозрительно, и фильтр может отбросить такой пакет.

В Linux фильтрация трафика на интерфейсе осуществляется автоматически, и регулируется с помощью переменной ядра rp_filter:

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 

Вместо all могут указываться имена интерфейсов, на которых осуществляется фильтрация. В переменную могут записываться Значения 0, 1 или 2.

• 0 — не выполнять проверку вообще;
• 1 — проверять непосредственно подключённые сети;
• 2 — проверять сети по таблице маршрутизации.

Пример настройки в ipfw, фильтре пакетов FreeBSD:

ipfw add 100 allow ip antispoof
ipfw add 1000 deny all

Пакеты, прошедшие проверку правилом antispoof, пропускаются, а остальные — отбрасываются (правило antispoof проверяет на соответствие только непосредственно подключёным сетям; для проверки по таблице маршрутизации используется verrevpath).

Пример настройки для маршрутизаторов Cisco:

ip verify unicast reverse-path

Материалы по безопасности на Xgu.ru
Уровень приложений	SSL  • SSH
Транспортный уровень	TLS  •
Сетевой уровень	Безопасность BGP  • IPsec  •
Уровень доступа к сети	VPN  • OpenVPN  • OpenSSL  • 802.1x  • VLAN  • Port security
Методы атаки	Spoofing (IP-spoofing, DNS-spoofing, ARP-spoofing, MAC-spoofing)  •
Анализ и pen-testing	Snort (Sneeze, Oinkmaster, BASE)  • Firewall Piercing  • arpwatch  • ettercap