インターネット上のIPアドレススプーフィングはどのように機能しますか？誰ができるの？

IPスプーフィングは[〜＃〜]ではありません[〜＃〜]IPハイジャックは、これを読んでいる人に混乱を引き起こしています。最小限のIPスプーフィング/骨の説明は、なりすましとも呼ばれます。 ASCIIそれが何をして、どのように起こるかを見てみましょう：

You (1.2.3.4) --> connect to your bank --> Bank (2.2.2.2)

なりすましでは、私があなたのネットワーク上にいる場合、私は好きな人になりすますことができます。

Me (1.2.3.4) to you --> I am 2.2.2.2 --> You
Me (1.2.3.4) to you --> I am Google.com --> You

これは重要なポイントです。あなたが応答した場合、私はその応答を見ることはありません。私は2.2.2.2でもGoogleでもありません。これはブラインドスプーフィングと呼ばれます。 なりすましについては、あなたのお金を盗みたいので、知らないうちにあなたの銀行のふりをしたいと思います。したがって、私はあなたの反応とあなたの銀行の反応を見る必要があります。今、私は複数の偽装を実行する必要があります。私はあなたのふりをする必要があります、私はあなたの銀行であり、私はあなたの銀行のふりをする必要があります、私はあなたです：

Me (1.2.3.5) --> to your ROUTING handler (be it a router or your routing table)
Me (1.2.3.5) --> I am 2.2.2.2 --> You
Me (1.2.3.5) --> I am 1.2.3.4 --> Your bank

これが発生するには、私がインフラストラクチャにいる必要があります[〜＃〜] [〜＃〜]。これをプロキシサーバーと考えてください。プロキシサーバーを使用しても、接続は同じです。

Me (1.2.3.5) --> proxy server (1.2.3.10) --> Bank (2.2.2.2)
Bank responds --> proxy server --> Me

トラフィックは、行き来する必要があります。 IPハイジャックシナリオでは、データがリレーされるため、スプーフィングはありません（プロキシですべてを確認できます）。BGPハイジャックにより、ワイヤを監視できます。ハイジャックを実行しているネットワーク上の誰かがそしてなりすましを実行できます。

現在、ISP/NSP/NAPの場合、政府はこのアプローチをとることがあります。

You (1.2.3.4) --> ISP (1.2.3.1 default route) --> Bank (2.2.2.2) # Normal connection

上記では、これは発生する改ざんされていないセッションです。たとえば、NSAタップされたネットワークでは、次のようになります。

You (1.2.3.4) --> ISP (1.2.3.1) --> internal ISP proxy <-- NSA (1.2.4.1) --> Bank (2.2.2.2)

あなたの視点から、あなたはあなたのISPに接続し、あなたの銀行に接続しています。プロキシが行われているのを見ることは決してありません（そして、決して見られません）。これは Narus などの企業が作成したシステムで行われる、なりすまし/偽装/なりすましのようなもので、AT＆Tでタップを使用してメイン接続をタップしました。

政府機関にはSSL証明書を使用する機能や、何が起こっているのかを知らないようにする他の手段があるため、このような盗聴の規模で行うべきことはほとんどありません。あなたがあなたのプロバイダーのなすがままであり、ワラントがワラントであるので、VPNトンネリングはそれを妨げません。

「BGPハイジャック」の必要はありません。BCPフィルタリングは上記のプロキシの例に対抗しないため、この議論に参加するためにBCPフィルタリングを使用する必要はありません。 BCPフィルタリングは、プロキシやハイジャックではなく、スプーフィングをカバーします。攻撃者がなんらかの方法でルーティングテーブルを操作してオペレーティングシステムを操作した場合、BCPは問題の原因になります。

IPスプーフィングとは、自分のものではない送信元アドレスを使用してIPパケットを作成し、それらをある宛先に送信することを意味します。これを可能にするには、パス上のルーターが誤ったソースからのトラフィックを許可する必要があります。 BCP38 は、ISPがネットワークから発信された偽装IPトラフィックを防止するために使用できるいくつかの手法（フィルタリング、uRPF）について説明しています。

パケットの送信元アドレスがスプーフィングされているため、リターントラフィックは、パケットをスプーフィングしているホストには到達せず、スプーフィングされたIPアドレスを持つホストに到達します。 TCPのようなプロトコルは、スリーウェイハンドシェイクを必要とするため、機能しなくなります。NSAのツールリストでは、IPスプーフィングは、監視のための使用が非常に限られているため、高いとは思いません。

IPスプーフィングは、主にDDoS攻撃で使用されます。DDoSターゲットのIPを小さなUDPリクエスト（たとえば、DNSクエリ）で送信し、大きな応答を送信するホストにスプーフィングされたソースアドレスとして送信する方法（たとえば、大規模なDNSSEC署名付きDNS応答）の場合、ターゲットに向けて大量のトラフィックを簡単に生成できます。

tldr：はい、いいえ（両方：IPSecまで）

あなたの質問を

誰か（ISPなど）がIPレベルでインターネットホストになりすますことはできますか？もしそうなら、それをどのようにそしてどのように軽減することができますか？

その正しい用語はIPスプーフィングではありません。これは、Teunが彼の回答で述べたように、ホストに送信されるパケットの発信元アドレスをスプーフィングすることです。 TCP接続ではほとんど役に立ちませんが、UDPで使用でき、DDoS攻撃で悪用されることがよくあります。

それの正しい用語はHijackingであり、残りの答えはあなたがそれを意味していたと仮定します。

答え

これはターゲットによって異なります。 TCP/IPレベルで別のホストを偽装する方法はいくつかあります。ただし、これらはインフラストラクチャへのアクセスを必要とします。

• 特定のホストがこれの犠牲になる場合、ISPは、インターネットのその他の部分に影響を与えることなく、「なりすまし」されたIPのトラフィックを代わりに選択したマシンに再ルーティングできます。

  したがって、この攻撃はISPネットワークの外部ではほとんど追跡できません。 ISPが令状を持つ3つの文字代理店と協力する場合、これが最も簡単な方法です。

• 特定のIPが多くの人になりすまされている場合、 Border Gateway Protocol を使用して、インターネット上の他のルーターにそのIPのトラフィックを再ルーティングさせることができます（十分なリソースがある場合）。

  中国の優れたファイアウォール（大規模なMiTMを確立するためのいくつかの著名なインターネットプラットフォーム用）はこれだと思います（そうでしたか？）が、現時点ではそれへのリンクは見つかりません。

TCP/IPテクノロジー（およびBGP）はほとんど信頼に依存している（そしてかなり古い）ので、それを防ぐ方法はありません。ただし、 IPSec は、このような問題を軽減するためのものですが、現時点では広くサポートされていません。

さらに、 [〜＃〜] tls [〜＃〜] を上位レベルに展開して、ISO/OSIモデルのTCPブランチでこの問題を軽減することができますIPレイヤーの上。

他の人が述べたように、IPスプーフィングには、送信するIPパケットの送信元アドレスの偽装が含まれます。一般的なコンセンサスは、なりすましているIPと同じネットワーク上にいない限り、返信を取得することはできないということです。衛星接続をハッキングする場合、同じネットワークがさまざまな大きな地域になる可能性があることを言及する価値があると思いました。 http://www.blackhat.com/presentations/bh-dc-10/Nve_Leonardo/BlackHat-DC-2010-Nve-Playing-with-SAT-1.2-wp.pdf また https://www.forbes.com/2010/02/02/hackers-cybercrime-cryptography-technology-security-satellite.html#4ae6a207731f および https://www.csoonline.com/記事/2982486/data-protection/turla-cyberespionage-group-exploits-satellite-internet-links-for-anonymity.html お楽しみください。