falsificação de endereços IP usando o Roteamento de Origem

5

Com as opções de IP, podemos especificar a rota que queremos que um pacote IP execute ao se conectar a um servidor. Se sabemos que um determinado servidor fornece alguma funcionalidade extra com base no endereço IP, não podemos utilizá-lo falsificando um pacote IP para que o endereço IP de origem seja o endereço IP privilegiado e um dos hosts no Roteamento de Origem seja o nosso.

Portanto, se o endereço IP privilegiado for x1 e o endereço IP do servidor for x2 e meu próprio endereço IP for x3. Eu envio um pacote de x1 para x2 que deveria passar pelo x3. x1 na verdade não envia o pacote. É só que x2 acha que o pacote veio de x1 via x3. Agora, em resposta, se x2 usar a mesma política de roteamento (por uma questão de cortesia para x1), todos os pacotes serão recebidos por x3.

O destino normalmente usará as mesmas sequências de endereço IP especificadas no cabeçalho de roteamento para que os pacotes provenientes do servidor passem pelo meu IP, onde eu possa obter as informações necessárias?

Não podemos falsificar uma conexão TCP no caso acima?

Esse ataque é usado na prática? Tem sido usado por alguém?

    
por Rohit Banga 13.04.2010 / 07:26

1 resposta

5

Agora há um bom pensamento. Mas não tenha medo, isso já é um ataque conhecido:

Seu risco é mitigado pelo fato de que os pacotes roteados de origem são geralmente bloqueados nos limites das organizações e também o fato de que o roteamento de origem é desativado por padrão em sistemas operacionais como FreeBSD e OpenBSD (e pelo menos algumas das distribuições Linux , por exemplo, Arch Linux). Citando o primeiro link:

The impact of this advisory is greatly diminished due to the large number of organizations which block source routed packets and packets with addresses inside of their networks. Therefore we present the information as more of a 'heads up' message for the technically inclined, and to re-iterate that the randomization of TCP sequence numbers is not an effective solution against this attack.

    
por 13.04.2010 / 08:19