同じネットワーク内の別のIPアドレスをスプーフィングします。スプーフィングソースは応答を受け取りますか?
IPスプーフィングに関するいくつかの記事を読みました。簡単に言うと、IPスプーフィングとは、攻撃者がIPヘッダーで偽のIPアドレスを使用して、このIPパケットが別のマシンから送信されたように見せかけることです。
攻撃者はこれを使用して、サービス拒否攻撃(他の高度な技術を使用)などを実行し、実際の送信元IPアドレスを隠すことができます。
これらの記事では、これらの返信パッケージはスプーフィングされたIPアドレスに送信されるため、攻撃者は返信パケットを見ることができないとも述べています。
私の質問は、偽のIPアドレスが攻撃者が偽装パケットを送信する同じネットワーク(同じ衝突ドメインの下)にある場合、攻撃者は応答パケットを取得するのですか?
ありがとうございました。
コリジョンドメイン内では、ワイヤ上でのフィルタリングはありません。したがって、応答は攻撃者のNICに配信されます。
通常、攻撃者はNICでそのようなパケットをホストに渡さずにドロップしますが、攻撃者がNICを「無差別モード」にすると、応答が返されます。
追伸衝突ドメインではなく実際にブロードキャストドメインを意味する場合は、davidbの回答を参照してください。
それはあなたがスプーフィングをどこまで行ったかに依存します。 IPアドレスのみを偽装し、MACアドレスは偽装しない場合、元のホストが回答を取得します。
IPアドレスだけでなくMACアドレスもスプーフィングした場合は、回答も受け取る可能性があります。これは、LAN上のスイッチがMACアドレスを物理ポートにマッピングするためです。つまり、MACアドレスをスプーフィングすることで、いわゆる「ポートスチール」を「偶然に」引き起こすことができます。これは、スプーフィングされたIPアドレスに割り当てられているMACアドレスがポートに表示されることをスイッチが確認したときに発生します。次に、スイッチはCAMテーブルを変更し、スプーフィングされたMACアドレスをポートに割り当てます。
ポートの盗用は、スプーフィングされたパケットを継続的に送信する場合にのみ機能しますが、そうではないようです。そのため、MACアドレスがCAMテーブルの正しいポートに割り当てられるまで、それが発生するのはごく短時間です。
IPは、ターゲットARPテーブルに格納されているMACに解決されますが、ローカルネットワークの場合はそれがアドレスになります。つまり、ターゲットのARPキャッシュをポイズニングするまで、応答は表示されません。
ネットワーク内のノードを対象とした応答は、そのネットワーク内のすべてのノードによって常に受信されます。宛先MACアドレスが自身のアドレスと一致しない場合、NICはパケットを破棄するように設計されているだけです。このデフォルトの動作は、NICを無差別モードにすることで上書きできます(NICでサポートされている場合)。これにより、NICはパケットを破棄しません(物理層)を送信して上位層に送信します。上位層でTCPDUMPやWireSharkなどの独自のプログラムを実行して、これらのパケットをキャプチャして分析できます。