how the RemoteIP associated with the SvcHost process can be spoofed
In TCP, non puoi realmente falsificare un indirizzo IP e utilizzare la connessione. L'handshake TCP richiede un handshake a tre vie dove i pacchetti vengono scambiati tra i due endpoint. Se hai falsificato l'indirizzo IP remoto (ad esempio, hai scritto un IP falso o errato nella intestazione IP ) la stretta di mano fallirà. Quindi, il client attore cattivo invia i pacchetti spoofati del server (SYN in entrata), il server risponde con un SYN_ACK, ma invia SYN_ACK a un posto casuale. Se arriva, la macchina che lo riceve si chiederà che il WTF venga mostrato casualmente e lo scarterà.
Gli IP spoofati sono utili per gli attacchi DDoS (per nascondere la sorgente), l'amplificazione (per bombardare un bersaglio), ecc ...
Ma non sono utili se stai cercando di ottenere una connessione e nascondi dove ti trovi.
Is there a way to detect if these IPs are spoofed?
Non proprio. L'unica volta che ho visto che è stato facile rilevare le richieste IP contraffatte (o quello che suppongo siano richieste IP contraffatte) sta guardando un firewall dove c'è un burst di pacchetti SYN in entrata, che ricevono un SYN_ACK inviato, ma un ACK non viene mai ricevuto).
Can an RDP connection be established via a spoofed IP?
Dipende dalla definizione di IP falsificato . Se si intende un indirizzo IP non associato all'utente malintenzionato, quindi no.
Se intendi un indirizzo IP che nasconde un utente malintenzionato, allora sì. Possono utilizzare MiTM, utilizzare VPN, proxy e una serie di altre tecnologie per offuscare i loro effettivi indirizzi IP.
P.S. - Un'altra cosa di cui devi essere a conoscenza in termini di "può un IP falsificato stabilire una connessione" ... RDP usa crypto per proteggere la connessione. Ciò comporta lo scambio di chiavi al fine di crittografare i dati, che è un'altra stretta di mano che deve funzionare. Quindi, la nostra configurazione TCP / IP richiede un handshake. Lo scambio di chiavi per la cripta richiede una stretta di mano. Non puoi fare tutto questo con IP falsi. Deve essere una macchina reale pronta, disponibile e in attesa di soddisfare la metà di tutte le richieste.
How reliable is the remote IP in Resource Monitor?
Sta leggendo l'indirizzo IP dall'intestazione IP del traffico. Quindi, è affidabile come quella intestazione è.