インターネット上のIPアドレスのなりすまし
ローカルネットワーク上で、攻撃者は偽の送信元IPアドレスを使用してカスタムIPパケットを作成し、それをホストに送信できます。攻撃者が応答を受信しないことはわかっていますが、IPパケットの送信元IPの偽装/なりすましが役立つ攻撃がまだあります。
しかし、これはどのようにしてインターネット(パブリックIPアドレスを偽装)で実行できますか?偽のパブリックソースIPアドレスを使用してIPパケットを送信する場合、NATを実行しているルーターの後ろに座っていると、ルーターがIPパケット内の偽のソースIPを、ルーター。スイッチをオフにするオプションが見つかりませんでしたNATルーターの特定のアドレスに対して。そのようなオプションを持つルーターはありますか、それとも他の方法で行われていますか?誰かがこのようなことをしていますか?前?
NATを通過する偽のソースIPを持つパケットに何が起こるかについて同様の質問/回答があることは知っていますが、実際には私の質問には回答しません。これは、私が述べたNAT=で起こりうる問題を説明していますが、問題を回避する方法は説明していません。
ホームインターネット接続からのソースIPのスプーフィング
NATを削除...
インターネット接続がほとんどの場合(これまでに見たADSLまたはケーブル接続)と同じように機能する場合、NAT=を削除する簡単な方法があります。
- ルーターを取り外してモデムに置き換えるか、モデムが別のボックスの場合はルーターを取り外します。一部の(ほとんどの)ルーターは、モデムのように動作することさえできます。その場合は、ソフトウェアで切り替えるだけで、実際にハードウェアを交換する必要はありません。
- コンピュータを直接モデムに接続します
- コンピューターでISPへの接続をセットアップします。おそらくこれは、ISPから取得したある種のユーザー名/パスワードを使用したPPPoE接続です。
- これで、コンピュータはインターネットに直接接続され、NATやファイアウォールはありません。ただし、コンピュータ上のソフトウェアやISPが提供しているものを除きます。
...またはルーターになりすましを行わせる
IPスプーフィングを実行できるルーターもあります。 iptablesを実行し、ルールの構成を可能にするすべてのデバイスで実行できます。ここでOpenWRT対応デバイスが思い浮かびます。
あなたが多かれ少なかれ遭遇する可能性が高いいくつかの問題
接続の最後にNATがない場合でも、ISPはNATを通過する必要があります。また、 ISPは、割り当てられたソースIPを持たないコンピュータからのパケットをフィルタで除外する場合があります。
以前にこのようなことをしたことがありますか?
はい、マルチホームサーバーでこのような処理を行ったので(IPの1つを他のIPに置き換えていました)、上記のフィルタリングのために機能しませんでした。
上記の解決策は複数の理由で機能することはなく、一部は上記のユーザーによって適切に説明されています。
ISPに被害者のPI(プロバイダーに依存しない)IPスペースに属するサブネットを通知させることができれば、それを実行できる可能性があります。 ISPがそうすることを説得するのはそれほど簡単ではないことは知っています。しかし、あなたは、ISPがあなたとあなた自身のASとのBGPセッションを確立するように説得することができます。
一部のフィルタリングはまだアウトバウンドに配置されている可能性がありますが、この方法では、ISPのセキュリティのいくつかのレベルをスキップします。また、あらゆる場所でVPNを許可している組織もあり、安全なVPNを介してリモートISPでBGPを試行することもできます。