web-dev-qa-db-ja.com

ハッカーはどのようにして異なるIPアドレスを偽装するのですか?

+/- 15分ごとに過去2日間、誰かが私のオンライン電子メールアカウントにサインインしようとしています。最近のアクティビティを確認すると、IPアドレス(および対応する国)が試行ごとに異なります。地理的に同じ場所からログインしようとしているのは、同じ人物(bot)だと思います。

ハッカーはどうやって別のIPアドレスを偽造しますか? (彼はTORなどの匿名ソフトウェアを使用していますか?)

14
robor78

TOR、VPN、ボット、プロキシなど、名前を付けてください。ソースIP自体は「なりすまし」されていません...それは本当のことです。誰かが実際に送信元IPを偽装した場合、TCP接続を確立することも、応答を受信することもできませんでした。送信元IP偽装方法は、被害者/なりすましに対する増幅攻撃を開始するときに、UDPよりも有用です。 IP。

31
Jari Huttunen

"分析":

実際のログイン試行が行われたという事実は、攻撃者がメールホストへの接続を設定できたことを示しています。

インターネット経由で情報を受信するには、使用しているIPアドレスを制御する必要があるため、これはアドレススプーフィングの場合にはなりません。 (攻撃者はYaRiで述べたように、偽装アドレスを使用して情報を送信する可能性がありますが、応答は攻撃者からルーティングされます。そのため、双方向通信は不可能です。)


結論:

これには2つの可能性があります。

  1. 攻撃者は、ある種のリダイレクト(プロキシ)を使用します。
  2. 複数の攻撃が同時に発生します。

1の方がはるかに可能性が高いですが、2は与えられた情報から除外することはできません。

VPN、SOCKSまたはHTTPプロキシ、Tor、さらにはボットネットは、概念的な観点から見ると、さまざまな種類のプロキシシステムに他なりません。これらはインターネットのさまざまな層(非常に低いVPNからTorのような非常に高いオーバーレイネットワーク)で動作しますが、すべてが何らかの方法でトラフィック転送を実行します。


緩和:

メールサーバーを制御している場合は、既知のリレー(Tor出口ノードなど)のブロックを調べることができます。さらなるオプションは、メールサーバーまたはIPアドレスの地理位置情報にアクセスするために使用されるデバイスを追跡し、新しいデバイスで、または新しい場所からアクセスするときに拡張認証を要求することです。

多少大きなサービスを実行しているのでない限り、上記の対策はおそらく努力する価値はありません。それ以外の場合の最善の方法は、システムを最新の状態に保つことの次に、強力なパスワードを使用することです。

9
Karl Hardr

それは、さまざまな国に多くの異なるコンピューターを備えたボットネットである可能性があります。
ブロックできるIPがないため、あなた(またはあなたのメールプロバイダー)に対してブロックすることがほぼ不可能であるという利点があります(ハッカーにとって)。

あなたやあなたのメールアカウントはわかりませんが、重要な情報が含まれていない通常のアカウントである場合は、通常のボットネットができるだけ多くのアカウントにアクセスしようとする大きな可能性があります。

6
Tokk