攻撃者はプライベートIPアドレスを「シミュレート」できますか？

攻撃者がSSHサーバーにデータを送信する前に、TCPハンドシェイクを完了する必要があります。これは、攻撃者が32ビットのシーケンス番号を推測する必要があることを意味します。（SYN Cookieが使用されている場合、攻撃者の可能性は 改善 です。）

サーバーが適切なシーケンス番号を生成していると仮定すると、これにより、スプーフィングされたクライアントIPアドレスを使用してSSHサーバーを攻撃する攻撃者の能力が大幅に減少します。

しかし、サーバーを信頼して適切なシーケンス番号を生成できない場合や、32ビットのセキュリティでは不十分だと思われる場合があります。ですから、攻撃者が正しいシーケンス番号を推測するとどうなるか、まだ知りたいかもしれません。

まず最初に、推測されたシーケンス番号が正しいかどうかを攻撃者が把握できることに気づきます。正しい推測では接続が開かれるため、MaxStartupsを使用して指定された制限にカウントされます。攻撃者は、スプーフィングされていないアドレスを使用して別の接続を開こうとし、その制限に達しているかどうかを確認できます。彼は常にサーバーをその制限値のすぐ下に保つことができます。そのため、スプーフィングされたアドレスとの接続が成功すると、常に最後に利用可能な接続が行われます。

シーケンス番号の推測に成功する手口がなければ、攻撃者は送信された接続が存在するかどうかさえ知らずにパスワードの推測をブラインドで送信しなければなりませんでした。これにより、攻撃者の速度が2³²遅くなる可能性があります。

しかし、攻撃者がシーケンス番号が正しく推測されたかどうかを示すフィードバックを取得できる場合でも、偽装されたTCP接続でパスワードの推測を妨げる他の障害があります。

鍵交換中に、クライアントとサーバーの両方が、接続を介して送信されるランダムな値を選択します。これらのランダムな値は、セッションキーに影響します。これは、ブラインドで作業している攻撃者（サーバーからスプーフィングされたIPへの返信が見られないため）がセッションキーを知らないことを意味します。

セッションキーに関する知識の欠如は、攻撃者がメッセージ認証コードを推測する必要があることを意味します。これは、正当な接続でMITM攻撃を実行することと本質的に同じです。さらに、攻撃者は暗号化されたパスワードを送信してサーバーで復号化する必要があります。攻撃者は使用中の暗号化キーを知らないため、どのパスワードを試したかはわかりません。

攻撃者が攻撃を完了するまでの時間枠は、偽装されたIPアドレスがTCP RSTパケットで応答するまで続きます。攻撃者とサーバー間の往復時間は、サーバーとローカルアドレス間の往復時間。これにより、攻撃者は、正しく推測されたシーケンス番号の検証を含む、あらゆる種類のフィードバックを使用できなくなる可能性があります。

ファイアウォールをインストールしてSYN ACKがスプーフィングされたIPアドレスに到達しないようにするか、RSTがサーバーに到達できないようにすることで、攻撃者が攻撃を完了するまでの時間を長くすることができます。ただし、これによって攻撃がより実行可能になるわけではありません。

答えはイエスです、それは可能です。ただし、いくつかの重要な制限があります。 IPスプーフィングを使用すると、ペイロードをターゲットに配信するために使用できる接続を確立できますが、実際の双方向TCP接続を確立することはできません。簡単に言うと、攻撃者はターゲットマシンに応答させることができますが、ルーティングされないため、応答を受け取りません（これは、IPスプーフィングがTCPではなくUDPでより一般的に使用される理由です） _タイプ接続）。ただし、攻撃者はパケットの受信をシミュレートして偽の確認応答パケットを送り返すことができ、そこからペイロードを配信できるポイントに到達します。このペイロードは、理論的にはターゲットにトロイの木馬をセットアップするために使用され、攻撃者はC＆Cシステムを呼び出し、内部システムへの接続を確立します。

これは可能ですが、さまざまなプラットフォームがTCP接続を処理する方法が変更され、攻撃者がackパケットをシミュレートすることが困難になるため、ハッキングは困難であり、すべてのシステムで可能とは限りません。ルーターの低いセキュリティに関する最近のすべての開示を考えると、より可能性の高い攻撃は、ルーターを危険にさらしてポート転送をセットアップするか、UPnPを使用してシステムをだまして外部接続を開始することなどです。