Quali rischi per la sicurezza comporta lo spoofing IP?

Hai ragione quando dici che un IP malintenzionato potrebbe non ricevere il traffico indietro, ma potrebbe non volerlo. Potrebbero volere che il traffico venga inviato a un altro indirizzo IP, probabilmente per un attacco denial of service su quell'IP.

In alternativa, ci sono attacchi che richiedono solo la parte iniziale della stretta di mano per abbattere le difese (hai menzionato l'alluvione di SYN)

Meno di un rischio diretto, ma anche rilevante è il carico generale del traffico. La mia opinione su questo è di non consentire quanto possibile al perimetro - questo include i tipi di traffico e le porte che non usi, e anche il traffico che è effettivamente non valido. È semplice da fare sulla maggior parte dei router e ciò significa che qualsiasi firewall di ispezione approfondita deve effettuare il trapping di un numero inferiore di pacchetti riducendo così il carico.

Una scansione inattiva dipende dallo spoofing della fonte. Tuttavia, molti router sono configurati per eliminare il traffico con un IP sorgente ovviamente errato. Molti ISP bloccheranno ovviamente gli indirizzi spoofed sia in uscita che in entrata, quindi l'utilizzo di questo dipende strongmente dall'ottenere la casella di attacco nel segmento di rete giusto.

Hai detto "rischio per la sicurezza oggi" e il seguente è più applicabile ai rischi per la sicurezza di domani, ma ipv6 pone qualche nuovo spoofing problemi e soluzioni .

Vale la pena considerare i rischi dello spoofing IP in protocolli senza connessione come UDP. Immagina un caso in cui un firewall stia limitando l'accesso a un insieme di indirizzi IP consentiti. Un utente malintenzionato con conoscenza di tali indirizzi IP consentiti potrebbe eseguire un attacco mirato inviando pacchetti UDP ben predisposti al servizio di ascolto.

Ci sono molti servizi che usano protocolli senza connessione, il DNS è importante per esempio.

Come hai detto tu, per quanto riguarda il TCP l'utilità dello spoofing IP diventa molto più limitata dal momento che non puoi stabilire una sessione completa che richiede lo speciale 3-way (o lesser noto 4-way ) handshake.

Lo spoofing IP copre più di un semplice TCP.

Il vecchio attacco smurf della vecchia scuola si basava sull'invio di richieste ping ICMP a un indirizzo di broadcast utilizzando un indirizzo di origine falsificato su DDoS una vittima con tutte le risposte al ping ICMP.

L'attacco IMHO più recente e strabiliante è l' DNS Poisoning Attack trovato da Dan Kaminsky . Controlla quanti venditori sono interessati. Nota: djbdns non è vulnerabile ed è stato specificamente progettato per sconfiggere questo attacco.

Because attacks against these vulnerabilities all rely on an attacker's ability to predictably spoof traffic, the implementation of per-query source port randomization in the server presents a practical mitigation against these attacks within the boundaries of the current protocol specification. Randomized source ports can be used to gain approximately 16 additional bits of randomness in the data that an attacker must guess.

...

An attacker with the ability to conduct a successful cache poisoning attack can cause a nameserver's clients to contact the incorrect, and possibly malicious, hosts for particular services.

Il DNS avvelenato consente di attaccare SSL, come indicato nelle risposte a questa domanda SSL .

you will not be able to set up a full handshake by doing this

Se le macchine si trovano su sottoreti separate, il routing di origine è disabilitato e i router non sono compromessi, quindi non è possibile.

Chiunque usi gli indirizzi host come misura di sicurezza primaria merita cosa accadrà loro.

Mentre il routing di origine è solitamente disabilitato per impostazione predefinita sulla maggior parte delle implementazioni di IPv4, molte delle funzionalità in IPv6 dipendono .

E guarda le statistiche - la maggior parte degli incidenti di sicurezza sono perpetrati da "addetti ai lavori".

Devi aggiungere che rende le indagini sui tentativi di hacking un po 'più difficili. Se non fossi in grado di falsificare l'indirizzo IP sarebbe una connessione diretta al tuo servizio.