Qualcuno di recente mi ha detto che l' NSA potrebbe impersonare praticamente chiunque desideri usando lo spoofing degli indirizzi IP su Internet. Ma come funzionerebbe e in che misura è vero comunque?
Qualche ISP nel mondo potrebbe falsificare qualsiasi indirizzo IP che volevano o esiste una qualche forma di protezione contro questo?
Lo spoofing IP è NON IP Hijacking che causa confusione per chiunque lo stia leggendo. IP Spoofing alla sua spiegazione minima / bare è anche chiamato impersonificazione. Diamo un'occhiata ASCII a cosa fa e come accade:
You (1.2.3.4) --> connect to your bank --> Bank (2.2.2.2)
Nello spoofing, posso fingere di essere chiunque io desideri, se sono sulla tua rete:
Me (1.2.3.4) to you --> I am 2.2.2.2 --> You
Me (1.2.3.4) to you --> I am Google.com --> You
Questo è un punto controverso perché se rispondi, non vedrò MAI la risposta, non sono 2.2.2.2 né Google. Questo è chiamato spoofing cieco . Per impersonificazione , voglio fingere di essere la tua banca senza che tu lo sappia, perché voglio rubare i tuoi soldi. Quindi ho bisogno di vedere le tue risposte e la risposta della tua banca. Ora devo eseguire più imitazioni. Devo fingere che io sia la tua banca, e devo fingere alla tua banca, che io sono te:
Me (1.2.3.5) --> to your ROUTING handler (be it a router or your routing table)
Me (1.2.3.5) --> I am 2.2.2.2 --> You
Me (1.2.3.5) --> I am 1.2.3.4 --> Your bank
Affinché ciò accada, DEVE essere nella tua infrastruttura. Pensa a questo come un server proxy. Utilizzando un server proxy la connessione è la stessa:
Me (1.2.3.5) --> proxy server (1.2.3.10) --> Bank (2.2.2.2)
Bank responds --> proxy server --> Me
Il traffico deve fluire da e verso. In uno scenario IP Hijacking , i dati vengono inoltrati, quindi non c'è spoofing (posso proxy per vedere tutto) BGP Hijacking consente di guardare il filo. Qualcuno sulla rete che sta eseguendo il dirottamento può quindi eseguire lo spoofing.
Ora, nel caso di un ISP / NSP / NAP, un governo può adottare questo approccio:
You (1.2.3.4) --> ISP (1.2.3.1 default route) --> Bank (2.2.2.2) # Normal connection
In quanto sopra, questa sarebbe la sessione non manomessa che si verificherebbe. In altre parole, una rete TAP è ciò che accadrebbe:
You (1.2.3.4) --> ISP (1.2.3.1) --> internal ISP proxy <-- NSA (1.2.4.1) --> Bank (2.2.2.2)
Dal tuo punto di vista, ti connetti al tuo ISP, quindi alla tua banca. Non vedrai mai (e non potrà mai) vedere il proxy. Questo è il genere di spoofing / masquerating / impersonation fatto con sistemi creati da aziende come Narus che hanno usato un tap in AT & T per toccare le connessioni principali.
C'è poco da fare su una scala di intercettazioni come questa, poiché le agenzie governative hanno le capacità di usare certificati SSL e altri mezzi per impedirti di sapere cosa sta succedendo. Il tunneling VPN non lo impedirà, poiché sei in balia del tuo provider e un mandato è un mandato.
Non c'è bisogno di "BGP Hijacking", filtro BCP per inserire anche questa discussione poiché il filtraggio BCP non neutralizzerà l'esempio del proxy precedente. Il filtro BCP copre lo spoofing, non il proxy, né il dirottamento. Se un utente malintenzionato riesce a manipolare la tabella di routing su dire il proprio sistema operativo, BCP è un punto controverso.
Lo spoofing IP significa creare pacchetti IP con un indirizzo di origine che non è tuo e inviarli ad una destinazione. Per essere in grado di farlo, i router sul percorso devono consentire il traffico proveniente da una fonte errata. BCP38 descrive una serie di tecniche (filtro, uRPF) che gli ISP possono utilizzare per impedire il traffico IP spoofato proveniente dalla loro rete.
Poiché l'indirizzo di origine del pacchetto è falsificato, il traffico di ritorno non raggiungerà l'host spoofing dei pacchetti, ma raggiungerà invece l'host che ha l'indirizzo IP contraffatto. Ciò causa la rottura del protocollo come TCP, dal momento che richiede un handshake Trio. Non credo che lo spoofing IP sia in cima alla lista degli strumenti della NSA, dal momento che ha un uso molto limitato per l'osservazione.
Lo spoofing IP viene principalmente utilizzato negli attacchi DDoS: se riesci a trovare un modo per inviare una piccola richiesta UDP (ad esempio una query DNS) con l'IP di una destinazione DDoS come indirizzo di origine falsificato a un host che invia un risposta ampia (ad esempio un DNSSEC di grandi dimensioni ha firmato una risposta DNS), è possibile generare facilmente grandi quantità di traffico verso il target.
tldr: Sì, No (entrambi: fino a IPSec)
Capisco la tua domanda come
Can someone (an ISP, for example) impersonate an internet host on the IP level? If so, how and how can that be mitigated?
Il termine giusto per questo non è IP Spoofing, che come Teun ha messo nella sua risposta, è lo spoofing dell'indirizzo di origine dei pacchetti inviati a un host; sono inutili con le connessioni TCP ma possono essere usati con UDP e sono spesso abusati per attacchi DDoS.
Il termine giusto è Hijacking e il resto della risposta presumerà che tu l'abbia voluto dire.
Questo dipende dall'obiettivo. Esistono diversi metodi per impersonare un altro host su un livello TCP / IP. Quelli tuttavia richiedono l'accesso all'infrastruttura.
Se un host specifico deve essere vittima di questo, il proprio ISP può reindirizzare il traffico per gli IP "spoofati" a una macchina di propria scelta, invece, senza intaccare altre parti di Internet.
Quindi, questo attacco è appena tracciabile all'esterno della rete degli ISP. Se gli ISP collaborano con agenzie di tre lettere con un mandato, questo sarebbe il modo più semplice.
Se un IP specifico deve essere falsificato per molte persone, il Border Gateway Protocol può essere utilizzato per creare altri i router su Internet reindirizzano il loro traffico per quell'IP a condizione che dispongano di risorse sufficienti.
Penso che il grande firewall della Cina (ha fatto / fatto?) questo per alcune importanti piattaforme Internet per stabilire un MiTM su larga scala, ma al momento non riesco a trovare alcun collegamento a questo.
Dato che la tecnologia TCP / IP (e il BGP) dipendono principalmente dalla fiducia (e sono piuttosto vecchi), non c'è nulla che possa impedirlo. Tuttavia, IPSec si propone di mitigare tali problemi, ma non è ampiamente supportato in questo momento.
Inoltre, TLS può essere implementato a un livello superiore per mitigare questo problema nel ramo TCP dell'ISO / OSI modello sopra il livello IP.
Come altri hanno affermato, lo spoofing IP comporta la falsificazione dell'indirizzo sorgente dei pacchetti IP inviati. Ho notato che il consenso generale è che non è possibile ottenere la risposta se non si è sulla stessa rete dell'IP che si sta impersonando. Ho pensato che valesse la pena menzionare che nel caso dell'hacking di connessioni satellitari, quella stessa rete può essere una regione di ampie dimensioni. link anche link e link Godetevi.
Leggi altre domande sui tag ip ip-spoofing nsa