Spoof IP address dopo un handshake TCP

8

So che non è possibile eseguire con successo un TCP Handshake con un indirizzo IP falsificato.

Tuttavia mi chiedo: È possibile falsificare l'IP una volta eseguito correttamente l'handshake TCP?

Ad esempio:

  1. Esegui l'handshake

  2. Usa la sessione (con un IP diverso) e invia una richiesta

  3. La risposta viene consegnata all'IP spoofato

Grazie in anticipo!

    
posta alive-and-well 31.08.2015 - 14:09
fonte

2 risposte

14

Is it possible to spoof the IP once a TCP handshake was performed successfully?

No.

Una sessione TCP è definita da quattro elementi:

  • Indirizzo IP di origine
  • Porta IP di origine
  • Indirizzo IP di destinazione
  • Porta di destinazione

Questo proviene da RFC 793 :

To provide for unique addresses within each TCP, we concatenate an internet address identifying the TCP with a port identifier to create a socket which will be unique throughout all networks connected together.

A connection is fully specified by the pair of sockets at the ends.

Se dovessi:

2) Use the session (with a different IP) and send a request

Quando modifichi uno di questi quattro parametri, come l'IP di origine, il nuovo pacchetto non fa più parte di quella sessione TCP e non sarà "consegnato" perché non corrisponde alla definizione di sessione. Invece, sarà un pacchetto out-of-state e verrà eliminato o rifiutato.

    
risposta data 31.08.2015 - 14:13
fonte
3

Come spiegato dalla risposta di gowenfawr, non è possibile modificare l'IP di una sessione TCP. Tuttavia ci sono alcune opzioni per avere una connessione TCP durante lo spoofing dell'IP sorgente.

Tutto ciò che fa lo spoofing IP è cambiare l'indirizzo IP di origine del pacchetto inviato. Questo viene fatto sul livello di routing (IP) dello stack di rete. Il server minaccerà questo pacchetto spoofato come farebbe con qualsiasi pacchetto, sia esso un pacchetto della stretta di mano o qualche pacchetto in seguito. Risponderà all'indirizzo IP di origine, che quando è stato contraffatto probabilmente non è di sua proprietà e quindi non riceverai la risposta.

Quindi come si può ancora ricevere un pacchetto che non ti è stato indirizzato? Alcune opzioni vengono in mente:

  • Sei su una rete wireless non protetta (o protetta da una violazione) e il destinatario si trova anche su questa rete. Il destinatario ignorerà il pacchetto ma se stai ascoltando tutti i pacchetti sulla rete vedrai il pacchetto e quindi sarai in grado di rispondere in modo appropriato o utilizzare le informazioni fornite.

  • Hai accesso alla macchina del destinatario, in questo caso puoi anche inviare il pacchetto da qui invece di spoofarlo.

  • Hai accesso ad alcuni router lungo il percorso che il pacchetto prenderà, questo ti permetterà di fare in modo che il router ti invii un duplicato. Ma non è banale sapere in quale direzione viaggerà un pacchetto.

Anche se teoricamente possibile cambiare il routing del pacchetto stesso per farlo essere inviato a te è irrealizzabile a mio parere.

Quindi la risposta breve è che non sarai mai in grado di ricevere la risposta di un pacchetto con spoofing IP senza alcune misure aggiuntive.

    
risposta data 31.08.2015 - 16:03
fonte

Leggi altre domande sui tag