Nozioni di base - IP spoofing

-3

Non riesco a capire perché lo spoofing IP (anche di base) sia molto limitato.

Supponiamo che Bob e Alice stiano per comunicare ed Eva possa vedere le comunicazioni di rete, perché Eva non può usare lo spoofing IP per creare "Man In The Middle"? So che c'è un problema TCP con statistiche prevedibili (ACK, sequenza), ma se queste informazioni non sono criptate e possono essere intercettate, Eve può vedere queste informazioni e così, lo spoofing è possibile.

Nella stessa idea, non riesco a capire perché, su una rete locale (senza DHCP), se si imposta un indirizzo IP già utilizzato da un altro, i messaggi non torneranno da me (cache ARP?). Non sto parlando solo di spoofing, ma supponiamo che io abbia impostato lo stesso indirizzo IP della vittima, come i router possano decidere qual è il "buono"?

Tranne l'utilizzo della crittografia, come garantire l'IP con cui sto comunicando?

    
posta crypto-learner 16.12.2014 - 17:14
fonte

3 risposte

1

Se sei direttamente sul percorso delle informazioni, non c'è assolutamente nulla che ti impedisca di fingere di essere quell'indirizzo IP. Se tu fossi il primo dispositivo lungo la rete con cui Alice ha parlato, potresti assolutamente convincerla che sei l'IP di Bob.

Questa è una parte importante del perché i browser richiedono certificati firmati per fidarsi dei siti basati su SSL. Senza quel certificato firmato affidabile, non c'è modo di essere certi che il server sia quello che dicono di essere.

Per essere semplicemente sulla stessa rete, il problema sono i router. Quando ti connetti a una rete, i router devono essere informati su quale sia il tuo indirizzo IP in modo che sappiano in che direzione instradare quei pacchetti. Questi sono formati nelle tabelle di routing. Poiché ogni IP ha un solo record, se un altro computer dichiara di essere quell'IP dopo che il primo è stato stabilito, il router lo ignora semplicemente come errore e continua a seguire il percorso.

Potresti potenzialmente imbatterti in situazioni strane in cui router diversi ritengono che le diverse interfacce di rete siano l'IP corretto e in base a quale routing di direzione viene instradato, potrebbero finire in due posti diversi.

Inoltre, se ci si trovasse su una rete non commutata che utilizza solo hub (o, ad esempio, una rete wireless con una chiave comune), sarebbe in effetti possibile intercettare il traffico per un altro indirizzo IP. Non saresti in grado di impedire che anche l'altro computer ottenga i messaggi in questi casi, quindi sarebbe difficile iniettare qualcosa per qualsiasi protocollo con un numero di sequenza, ma sarai in grado di monitorarlo completamente o spoofarlo interamente se il sistema non si aspettava una connessione.

In breve, il problema principale riguarda il percorso che i dati richiedono. La maggior parte delle reti moderne è abbastanza intelligente da evitare l'invio di dati che non è necessario andare (dato che questo è inefficiente). Se la rete trasmette i dati ovunque, diventa molto più semplice, ma presenta ancora alcune sfide se è necessario impedire al cliente reale di conoscere la manomissione (a meno che non si possa agire completamente come gatekeeper tra loro e il resto della rete. )

    
risposta data 16.12.2014 - 18:48
fonte
0

Immagina lo scenario usando lettere fisiche, in quanto è più facile da immaginare.

Dire che invio una lettera con un indirizzo di ritorno che non corrisponde alla mia casa reale (o dove posso raccogliere la posta). Cosa accadrà alla lettera? Finché l'indirizzo di invio è corretto, il servizio di posta consegnerà questa lettera alla persona corretta. Tuttavia, quando vogliono inviare una lettera di ritorno, la inviano all'indirizzo che ho scritto sulla busta. Ora, il servizio di posta non ha modo di sapere che in realtà il mio indirizzo è diverso dall'indirizzo scritto sulla busta, quindi lo recapitano all'indirizzo specificato sulla busta. Ora non ho modo di ricevere la lettera di risposta, poiché si trova in un altro luogo.

Per la tua seconda parte, se in realtà ha cambiato l'indirizzo di casa mia, inizierei a ricevere lettere inviate a quell'indirizzo. Tuttavia, non è possibile che due persone abbiano lo stesso indirizzo, poiché in tal caso il servizio di posta elettronica non può identificare in modo univoco le case e quindi recapitare la posta.

Questa è un'analogia, ma gioca molto vicino alla vera immagine. Su Internet, i pacchetti passano attraverso diversi dispositivi (chiamati 'hop') prima di raggiungere la loro destinazione. Ogni hop inoltrerà i pacchetti all'indirizzo IP nell'intestazione, senza pensare a dove "dovrebbe" andare. Quindi, se falsi il tuo indirizzo IP, verrà inviato, ma non riceverai alcuna risposta. Per quanto riguarda l'impostazione dello stesso indirizzo IP di una vittima, si otterrà semplicemente un conflitto. Probabilmente il router eseguirà il kick di entrambi o l'ultimo per connettersi alla rete e non ti consentirà di unirti allo stesso indirizzo. Non ha alcun senso logico avere indirizzi duplicati sulla rete, e in nessun modo il router può gestire legittimamente questo scenario.

    
risposta data 16.12.2014 - 17:43
fonte
0

Quindi la comunicazione non crittografata può essere soggetta a Man in the Middle, la randomizzazione dei numeri di sequenza che ritengo tu stia facendo riferimento è per contrastare le iniezioni di dati, cioè qualcuno potrebbe semplicemente inviare un pacchetto nel flusso e può essere accettato se il numero di sequenza è noto. Ad esempio, un firewall può tenere traccia di una sessione TCP per consentire la comunicazione di nuovo nella rete, se un utente malintenzionato potrebbe indovinare la sequenza, allora c'è la possibilità di ottenere i pacchetti nella rete da un dispositivo non autorizzato anche se il firewall limita in base a fonte poiché l'indirizzo di origine può essere falsificato.

L'idea che potresti avere è che in un ambiente commutato i pacchetti unicast non dovrebbero superare tutte le porte, quindi dovresti trasformare l'interruttore in un hub, che verrebbe probabilmente notato, e se l'amministratore era sicuro consapevoli che potrebbero aver già limitato le porte per non permetterlo.

L'altra domanda è dovuta all'ARP, le tabelle ARP di solito si aggiornano ogni 5 minuti, quindi se la tua macchina si accende e gli arp che il MAC ha questo IP allora sarà collocato nella tabella ARP, quindi di solito attende 5 minuti e fa lo stesso per aggiornare la cache o qualsiasi pacchetto inviato aggiornerà la cache dell'arp. Se il ciclo di aggiornamento dell'altro dispositivo si verifica subito dopo il ciclo di aggiornamento o invierà costantemente pacchetti, vedrete una piccola comunicazione che poi si interromperà. Ci sono funzioni nei router per aiutare a contrastare gli IP duplicati, ma molto è fatto sul client stesso, il client vedrà che c'è un duplicato e disabiliterà la sua interfaccia. Se dovessi indovinare sul router decidere quale IP sia accurato, sospetto che usi l'età. Ciò presuppone che la tabella ARP non sia configurata manualmente.

Un modo per assicurarti di parlare con la macchina giusta con testo in chiaro sulla stessa rete broadcast, è usare il comando arp e assicurarti che il MAC corrisponda alla macchina, ovviamente è abbastanza banale duplicare un MAC come beh, niente di tutto ciò è al 100%, motivo per cui è stata creata la crittografia e la firma.

Spero che questo aiuti

    
risposta data 16.12.2014 - 18:09
fonte

Leggi altre domande sui tag