IP spoofing

z Wikipédie, slobodnej encyklopédie
Prejsť na: navigácia, hľadanie

IP Spoofing je jedna z najnebezpečnejších hakerských techník. Spoofing je typ útoku, pri ktorom osoba alebo program maskuje svoju totožnosť a tvári sa ako druhá osoba. Veľa protokolov používaných v TCP/IP je náchylných na spoofing útoky. Príklady spoofing útokov sú IP spoofing, ARP spoofing, man-in-the-middle útoky, DNS spoofing, web spoofing – tiež sa označuje ako phishing.

Táto technika využíva dôverčivosť niektorých služieb (hlavne rlogin). Dovoľuje obísť TCP wrappingom zakázané služby a dokonca získať užívateľské kontá.

Služba rlogin dovoľuje mať v home directory súbor .rhosts, ktorý dovoľuje vstup z niektorých usernames/host kombinácií. Služba bola vytvorená pre zjednodušenie prihlásenia. Používateľ nemusí pri prihlasovaní z jedného svojho konta na druhé udávať ďalšie heslo. Útočník toho môže využiť a pomocou služby IP source routing zasielať balíky dát. Source routing je časť IP packetu, kde je explicitne definovaná cesta, ktorou sa má odpoveď uberať. Takto je možné zaslať packet z počítača útočníka na napadnutý počítač s tým, že bude v IP hlavičke definovaný odosielateľ Trusted a nastavená spätná cesta k počítaču útočníka.

Táto metóda nebýva vždy úspešná, pretože administrátori vypínajú nepoužívanú časť hlavičky source routing. Navyše sa dá veľmi rýchlo prísť na to, že niekto touto technikou napáda počítač a dokonca veľmi jednoducho zistiť aj zdroj/miesto útoku.

Technika útoku[upraviť | upraviť zdroj]

Preto sa vymyslela zložitejšia technika pomocou štyroch počítačov:

  • Haker – útočníkov počítač
  • Cieľ – počítač, na ktorý chce zaútočiť
  • Trusted – počítač, ktorý sa objavil v cieľovom.rhosts súbore
  • Down – počítač, ktorý existuje, ale momentálne nie je schopný odpovedať

Haker odošle počítaču trusted SYN packet so zdrojovým počítačom DOWN. SYN packet vytvorí na cieľovom počítači nový proces, ktorý by za normálnych okolností „počúval“ packety. Trusted bude počítaču Down zasielať packety, na ktoré by Down odpovedal, keby toho bol schopný. Takto sa vlastne zahltí počítač Trusted, aby nestačil odpovedať. Toto sa opakuje niekoľkokrát. Počítač Trusted je zahltený. Komunikácia s počítačom Cieľ prebieha úplne normálne. Celistvosť dátového toku TCP/IP sa zabezpečuje pomocou takzvaných sekvenčných čísel (sequence numbers). Odpovede na pakety však smerujú do počítača Trusted, pretože mu to bolo oznámené v zdroji, keď sa počítač tvári ako Trusted. Takže je nutné zistiť spôsob, akým Cieľ generuje sekvenčné čísla:

Po zistení sekvenčného čísla pošle cieľu pakety na nadviazané spojenia, kde použije uhádnuté sekvenčné čísla. A samozrejme je pribalený nejaký príkaz, ktorým je zabezpečený prístup do systému (napríklad echo + + > .rhosts, alebo "DISPLAY=hacker:0.0; export DISPLAY;/usr/X11/bin/xterm&).
Cieľ ešte bude odpovedať na packety počítaču Trusted. Ten je však zahltený, takže sa pakety stratia. Počítač Trusted sa o chvíľu „preberie“ zo SYN flood útoku. Hakerovi už stačí iba využiť vytvorenú dieru a zahladiť po sebe stopy.

Obrana proti útoku[upraviť | upraviť zdroj]

  • sťažiť zistenie spôsobu generovania sekvenčných čísel.
  • definitívne zakázať službu rlogin a všetky služby, ktoré si dôverujú na základe hostname.