web-dev-qa-db-ja.com

IPスプーフィングはどのようなセキュリティリスクをもたらしますか?

TCP=パケットを操作して送信元アドレスを変更することにより、IPを偽装することができます。私が理解しているように、これを行うことで完全なハンドシェイクを設定することはできません。戻ってくるパケットを受信することはありません。

これが今日のセキュリティリスクとなる方法を知っている人はいますか?

いくつかのリスク:

25
Chris Dale

IPをスプーフィングする攻撃者がトラフィックを受信しない可能性があるが、受信を望まない場合があるとあなたが言っているのは正しいです。彼らはトラフィックを別のIPアドレスに送信することを望んでいる可能性があります-そのIPに対するサービス拒否攻撃のために。

あるいは、防御を破壊するためにハンドシェイクの最初の部分だけを必要とする攻撃があります(SYNフラッドについて言及しました)

直接的なリスクは少ないですが、一般的なトラフィック負荷も関連しています。私の考えでは、境界でできる限り許可しないことです。これには、使用していないトラフィックタイプとポート、および事実上無効なトラフィックも含まれます。ほとんどのルーターでこれを行うのは簡単です。つまり、詳細なインスペクションファイアウォールはより少ないパケットを通過する必要があるため、負荷が軽減されます。

20
Rory Alsop

アイドルスキャン は、ソースのスプーフィングに依存します。ただし、多くのルーターは、明らかに間違ったソースIPでトラフィックをドロップするように構成されています。多くのISPは、発信と着信の両方で明らかに偽装されたアドレスをブロックするため、これを使用することは、攻撃ボックスを適切なネットワークセグメントに入れることに大きく依存します。

「今日のセキュリティリスク」とおっしゃいましたが、明日は次のセキュリティリスクに当てはまりますが、ipv6は新しいスプーフィング problems および solutions を引き起こします。

8
user502

UDPのようなコネクションレス型プロトコルにおけるIPスプーフィングのリスクを考慮することは価値があります。ファイアウォールが許可されたIPアドレスのセットへのアクセスを制限しているケースを想像してください。許可されたIPアドレスを知っている攻撃者は、巧妙に細工されたUDPパケットをリスニングサービスに送信することにより、標的型攻撃を仕掛けることができます。

コネクションレス型プロトコルを使用するサービスはたくさんあります。例えばDNSは有名なサービスです。

あなたが言ったように、TCPに関しては、特別な3ウェイ(または あまり知られていない4-方法 )ハンドシェイク。

5
Weber

IPスプーフィングは、TCPだけではありません。

古い学校 smurf attack は、ICMP ping要求をブロードキャストアドレスに送信し、スプーフィングされたソースアドレスを使用して、ICMP ping応答のすべてを被害者のDDoSに送りました。

IMHOの最も最近の驚くべき攻撃は、 Dan Kaminskyによって発見されたDNSポイズニング攻撃 です。影響を受けるベンダーの数を確認します。注:djbdnsは脆弱ではなく、この攻撃を無効にするために特別に設計されました。

これらの脆弱性に対する攻撃はすべて、攻撃者の予測可能なスプーフィングトラフィックの能力に依存しているため、サーバーにクエリごとの送信元ポートのランダム化を実装すると、現在のプロトコル仕様の境界内でこれらの攻撃に対する実用的な緩和策となります。ランダム化された送信元ポートを使用して、攻撃者が推測する必要のあるデータのランダム性をさらに約16ビット増やすことができます。

...

キャッシュポイズニング攻撃を成功させることができる攻撃者は、ネームサーバーのクライアントに、特定のサービスの不正な、場合によっては悪意のあるホストにアクセスさせることができます

このSSLの質問 の回答に記載されているように、ポイズニングされたDNSはSSLの攻撃を可能にします。

5
Bradley Kreider

これを行うと、完全なハンドシェイクを設定できなくなります

マシンが別々のサブネット上にある場合、ソースルーティングは無効になり、ルーターは危険にさらされないため、不可能です。

ホストアドレスを主要なセキュリティ対策として使用する人は誰でも、何が起きるかに値します。

ほとんどのIPv4実装では、ソースルーティングは通常デフォルトで無効になっていますが、IPv6の多くの機能依存がそれに依存しています。

そして統計を見てください-ほとんどのセキュリティインシデントは「インサイダー」によって犯されています。

3
symcbean

Gottaは、ハッキングの試みの調査をもう少し難しくしていると付け加えました。なりすましができなかった場合、IPアドレスはサービスへの直接接続になります。

1
Dave