Che cos'è il filtro Ingress e come funziona?

1

So che il filtraggio Ingress viene utilizzato per provare e verificare che un pacchetto provenga effettivamente dall'indirizzo ip da cui afferma di provenire. Ma come è possibile verificarlo quando tutto ciò che hai è il pacchetto? Cosa stai controllando? Forse una spiegazione di come funziona lo spoofing degli indirizzi IP potrebbe aiutare.

    
posta user3685285 27.01.2017 - 16:01
fonte

1 risposta

4

I know that Ingress filtering is used to try and verify that a packet actually came from the ip address that it claims to have come from. But how is it possible to verify this when all you have is the packet?

Il filtraggio di ingresso verifica che l'indirizzo IP di origine nel pacchetto sia presente nell'elenco degli indirizzi IP di origine consentiti. Non ha modo di verificare se il pacchetto provenga effettivamente da lì o meno.

What are you checking against?

Sta controllando l'IP nel pacchetto rispetto all'elenco mantenuto sul filtro. Se il filtro consente solo gli indirizzi di origine 192.168.1.0/24 e arriva un pacchetto con un indirizzo di origine 172.16.1.23, non non consente il pacchetto in questione. D'altra parte, un pacchetto con un 192.168 .1.45 l'indirizzo sorgente sarà permesso in.

Perhaps an explanation of how ip address spoofing works would help.

Nello spoofing IP, il client crea un pacchetto con un indirizzo sorgente fasullo. Quando il filtro guarda quel pacchetto, si fiderà dell'indirizzo sorgente che vede e lo farà entrare. Lo spoofing dell'indirizzo IP è il metodo utilizzato per aggirare il filtraggio delle entrate. Tuttavia, tutte le risposte a quel pacchetto andranno, non al mittente malintenzionato, ma al proprietario ignaro di quell'indirizzo sorgente contraffatto. Ciò limita l'usabilità dello spoofing IP nei casi in cui

  1. Non hai bisogno di una sessione di pacchetti avanti e indietro, o
  2. Controlli l'infrastruttura di rete necessaria per abusare del percorso di ritorno.

Potresti leggere il Mitnick Attack che è forse l'esempio più famoso di qualcuno che gestisce spoofing un indirizzo e farlo funzionare abbastanza a lungo per ottenere qualcosa da una sessione. In effetti, è riuscito a simulare una sessione con un indirizzo sorgente contraffatto da a) prevedendo il comportamento del server che non poteva vedere eb) sopprimendo le risposte naturali dell'obiettivo falsificato a pacchetti "non richiesti".

Lo spoofing IP è più comunemente visto con attacchi DDoS, in cui gli aggressori inviano pacchetti contraffatti perché non si preoccupano di una risposta: stanno solo cercando di inondare la vittima di pacchetti. La modifica dell'indirizzo sorgente semplifica il travestimento dell'origine dell'attacco e più difficile il filtro (poiché l'indirizzo spoofing può essere modificato ogni volta che lo desidera).

Si vedrà anche "Filtro Egress" menzionato - nel caso DDoS, questo significa che quando un utente di modem via cavo in Hoboken, New Jersey invia un pacchetto, il suo ISP verificherà che sta usando uno dei loro indirizzi, e farà cadere o bloccalo se non lo è. Se tutti gli ISP facessero filtraggio in uscita, DDoS non sarebbe stato in grado di utilizzare indirizzi falsificati per confondere i difensori. Purtroppo, rientra nella categoria di "fare qualcosa di giusto che avvantaggi le altre persone ma non la persona che deve farlo", quindi non è così comune come dovrebbe essere.

    
risposta data 27.01.2017 - 16:28
fonte

Leggi altre domande sui tag