Come funziona lo spoofing dell'indirizzo IP di un indirizzo errato?

5

Durante la lettura di iptables , ho visto questo articolo di NixCraft che consiglia a un server di bloccare i seguenti indirizzi errati:

  • 0.0.0.0/8
  • 10.0.0.0/8
  • 127.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3

Non dice se è applicabile per UDP , TCP o tutto il traffico. Il mio server web ha un'applicazione in esecuzione su TCP 127.0.0.1. Sono più preoccupato per gli indirizzi IP di origine falsificati come 0.0.0.0 o 127.0.0.1 che raggiungono il mio server su TCP.

Davvero, è possibile?

    
posta Question Overflow 17.05.2014 - 03:55
fonte

2 risposte

8

Lo spoofing di un indirizzo IP è possibile, anche se non è molto facile da fare per la persona media. La ragione è che molti ISP abbandonano i pacchetti contraffatti mentre lasciano la rete. Questo è ancor più applicabile ai bogons in quanto sono generalmente filtrati a livello di ISP e firewall di confine.

Se un pacchetto spoofato arriva sul tuo server, dovresti capire che non esiste un percorso di ritorno valido per quel pacchetto. Un utente malintenzionato che spoofing un indirizzo IP non sarebbe in grado di vedere tutti i dati dal server stesso, ma potrebbe ancora essere utilizzato in qualcosa come un attacco di amplificazione o per attivare un evento all'interno dei servizi server.

Quando parli di indirizzi privati riservati, la probabilità che colpiscano la tua rete è molto ridotta. Solo perché qualcosa è improbabile non significa che sia impossibile.

L'idea è che non dovresti accettare questi pacchetti attraverso la tua interfaccia pubblica, perché ciò che si trova dall'altra parte non è attendibile. Solo perché il tuo ISP dovrebbe e molto probabilmente filtrerà questi non significa che non dovresti fare lo stesso.

    
risposta data 17.05.2014 - 06:48
fonte
7

Dovresti bloccare questi indirizzi per tutto il traffico perché non esiste un motivo valido per il blocco di un pacchetto da o verso uno di questi indirizzi su Internet in generale. Qualsiasi pacchetto con uno di questi indirizzi rappresenta un attacco, una configurazione errata o entrambi.

0.0.0.0/8: Un insieme di indirizzi "jolly" che rappresentano la rete corrente.

127.0.0.0/8: Gli indirizzi di loopback. I pacchetti con questi indirizzi non devono mai lasciare il computer su cui sono creati.

10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16: indirizzi ad uso privato. I pacchetti con questi indirizzi non devono mai lasciare la LAN su cui si trovano. Rappresentano la più grande minaccia, dal momento che la creazione di uno di questi come indirizzo di destinazione può consentire all'autore dell'attacco di indirizzare i computer che non sono direttamente indirizzabili dal resto di Internet, e quindi potrebbe non avere lo stesso livello di sicurezza di un server; forgiandone uno in quanto l'indirizzo di origine può ingannare il computer di destinazione per attaccare uno di quei computer non indirizzabili.

224.0.0.0/3: gli intervalli di indirizzi multicast e riservati. Non sono sicuro del motivo per cui l'articolo dice di bloccarli.

Per quanto riguarda la modalità di creazione di questi pacchetti, qualsiasi programma con accesso a basso livello all'hardware del computer può creare pacchetti completamente personalizzati, incluso fare cose come forgiare l'indirizzo "da" sul pacchetto.

    
risposta data 17.05.2014 - 06:49
fonte

Leggi altre domande sui tag