In base a:
link
"questa tecnica viene utilizzata principalmente quando l'attaccante non si preoccupa della risposta o l'autore dell'attacco ha qualche possibilità di indovinare la risposta".
La mia domanda è:
"o l'aggressore ha un modo di indovinare la risposta"
?? Come?
senza contare che la macchina dietro l'indirizzo IP falsificato viene violato dall'attaccante.
A volte le informazioni di connessione all'interno di un pacchetto sono prevedibili. I numeri di sequenza iniziale TCP, ad esempio, possono essere un problema se non sono casuali. Vedi link per un esempio. La stessa cosa può accadere anche con gli ID di richiesta DNS.
Di solito questi attacchi non funzionano al primo tentativo, ma con diversi tentativi in rapida successione. Se sai che Bob ha appena chiesto ad Alice dove si risolve google.com e tu conosci l'ID della richiesta, puoi dire a Bob che è il tuo server inviando un pacchetto che afferma di provenire dall'indirizzo IP di Alice.
Un esempio potrebbe essere lo spoofing come parte di un attacco denial of service come un Smurf Attack . L'attaccante sa quale sarà la risposta e dove andrà, quindi non ha bisogno di riceverlo da solo.
Un esempio di questo gioco di indovinelli è l'ormai famoso difetto DNS che Dan Kaminsky ha trovato in quasi tutte le implementazioni dns qualche anno fa (2008).
Fondamentalmente, il difetto potrebbe essere sfruttato spingendo molte risposte a una richiesta dns forzata su un server richiedente fino a quando non si ottiene la porta e la sequenza di ritorno corrette (l'ipotesi è più facile quando è possibile farlo migliaia di volte). Ovviamente questa spiegazione è molto lontana dalla storia completa, vedi sotto per una migliore spiegazione argomentata.
Sicurezza ora Epsode 155 dove Steve Gibson ha spiegato il difetto
Se stai falsificando l'IP di qualcun altro, è probabile che tu non riceva traffico per quell'IP che viene creato dallo spoofing. Potresti volere che la macchina contraffatta che possiede l'IP riceva questo traffico, ad esempio perché stai conducendo un attacco denial of service.
(Esempio di sciocco) Supponiamo che tu voglia un computer di destinazione per ricevere un milione di risposte DNS. Costruisci una query DNS che sai risulterà in una risposta prolissa (quindi stai predicendo la risposta perché la stai ingegnerizzando), falsi l'IP della macchina vittima e invii la tua query a un milione di server DNS che tutti cercano di inviare le loro risposte alla macchina falsificata. La macchina vittima è sopraffatta dal traffico che sta ottenendo perché il suo IP è stato utilizzato nell'attacco.
Le persone spesso confondono lo spoofing IP con Man-in-the-middle. Nello spoofing IP non sei adatto alla macchina originale, ma lo stai accreditando con qualsiasi cosa tu stia facendo, questo in contrasto con Man-in-the-middle in cui in realtà stai contraffando l'IP di due macchine, una è spesso un router e l'altro il target, e tu fai da intermediario, o man-in-the-middle tra i due.
Nel primo caso non ti interessa il traffico generato dallo spoofing, mentre nel secondo caso lo fai.
Leggi altre domande sui tag network ip-spoofing