Spoofing

Spoofing
Spoofing oznacza podszywanie się pod inną maszynę w sieci.
Może wystąpić na różnych poziomach komunikacji:
- sprzetowej – zmiana przypisanego do karty MAC adresu – jęzeli weryfikacja
dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu
inie uprawniony dostep
- ARP spoofing
ARP (Address Resolution Protocol). Jest to protokół odopowiedzialny za
tłumaczenie adresu IP na adresy sprzętowe.
Adresy IP maszyn oraz skojarzone z nimi adresy sprzętowe są przechowywane
w buforze (cache) ARP kazdego hosta. Kiedy datagram jest przesyłany przez
sieć, sprawdzana jest zawartość bufora ARP i, jeżeli istnieje tam wpis
odpowiadający adresowi docelowego miejsca, gdzie ma dotrzeć datagram, nie
ma potrzeby wysyłania zapytania ARP. Wpis może być dokonany przez
generowanie fałszywych ARP Reply (ze względu na bezstanowość protokołu
ARP w wielu systemach operacyjnych host przyjmuje odpowiedź bez względu
na to czy była poprzedzona zapytaniem)
Spoofing
Zapisy w buforze ulegają przeterminowaniu po kilku minutach od ich
stworzenia. Kiedy wpis ARP o danym hoście wygaśnie, wysyłane jest
zapytanie ARP. Jeżeli komputer będzie wyłączony, zapytanie zostanie
bez odpowiedzi. Zanim jednak wpis zostanie przeterminowany,
datagramy są wysyłane, lecz nie odbierane. Klasycznym przykładem
spoofingu ARP jest zmiana adresu IP na adres maszyny wyłączonej.
Włamywacz może zorientować się, jaka maszyna w sieci jest
wyłączona, lub samemu ją wyłączyć. Wtedy zmieniając konfigurację
swojej maszyny może on skonfigurować ją tak, aby wskazywała IP
odłączonej maszyny. Kiedy ponownie zostanie wysłane zapytanie ARP,
jego system odpowie na nie, przesyłąjąc nowy adres sprzętowy, który
zostanie skojarzony z adresem IP wyłączonej maszyny. Jeżeli jakieś
usługi w sieci były udostępniane na podstawie zaufania według danych
wskazywanych przez ARP, będą one dostępne dla osoby
niepowołanej.
Spoofing
Atak za pomocą spoofingu ARP jest również możliwy w przypadku, kiedy
istnieją w sieci maszyny o dwóch takich samych adresach IP. Tak sytuacje
powinna być niedopuszczalna, jednak często wystepuje takie zjawisko. Kiedy
jest wysyłane zapytanie ARP każdy z hostów o danym IP odpowie na nie. W
zależności od systemu albo pierwsza albo ostatnia odpowiedź zostanie
umieszczona w buforze. Niektóre systemy wykrywają taką sytuację i jest to
oznaka możliwości wystąpienia spoofingu.
Często włamywacz dokonuje zmiany adresu ARP dla gateway-a.
Polega na wysłaniu wysłaniu zapytania ARP ze sfałszowanym powiązaniem
MAC-IP. Jeśli zapytanie będzie zawierało przypisanie adresu IP lokalnej bramki
(routera) do adresu MAC komputera podszywającego się, to w zależności od
tego, czy pakiet został wysłany na adres rozgłoszeniowy, czy też skierowany do
pojedynczego komputera, wszystkie pakiety wysyłane w świat z całej sieci
przechodzić będą przez podszywający się komputer. Aby nie zablokować
całego ruchu i nie wzbudzać podejrzeń, komputer podszywający się może
przekierowywać cały ruch do routera. Ponieważ hosty pamiętają odwzorowania
MAC-IP w pamięci podręcznej, stan taki trwać będzie aż do przeterminowania
wpisu bądź do wysłania nowego zapytania ARP zawierającego poprawne
powiązanie MAC-IP bramki. Technika ta nazywana jest przekierowywaniem
routera (router re-direction).
Spoofing
Aby bronić się przed spoofingiem ARP, stosuje się wpisy permanentne w ARP
cachu używanej maszyny w przypadku hostów o szczególnym znaczeniu. ARP spoofing jest wykorzystywany jako metoda przeciwdziałania fragmentacji
sieci switchami w celu ograniczenia „sniffing”-u.
Przeciążenie przełącznika
Niektóre przełączniki zalane potokiem ramek z losowymi, nieistniejącymi w
sieci adresami MAC przechodzą w tryb powtarzania i zaczynają pracować jak
zwykłe koncentratory. Dzieje się tak z powodu przepełnienia tablicy do
odwzorowania adresów MAC na porty przełącznika. Większość przełączników
ma jednak specjalne funkcje zabezpieczające przed takimi atakami. Jedną z
nich jest ograniczenie liczby adresów MAC, które przełącznik przypisać może do
określonego portu.
ARP spoofing jest problemem sieci lokalnej.
Spoofing
IP spoofing
Podszywanie się pod adres IP w celu uzyskania nieuprawnionego
dostepu lub zablokowania usługi w atakach typu DoS.
Może mieć postać podszywania się pod nie działający w danym
momencie host i przejecie jesgo adresu (w obrębie tej samej sieci) lub
polegać na generowaniu pakietów z fałszywym adresem IP.
Atak korzysta z faktu że w czasie przekazywania pakietu routery
opierają sie jedynie na adresie docelowym. adres źródłowy jest
wykorzystywany tylko przez host końcowy w celu wygenerowania
odpowiedzi.
Ataki te dotyczą najczęściej usług, gdzie komunikacja nie wymaga
odpowiedzi np. polega na dostarczaniu informacji lub mają charakter
ataków DoS.
-
Spoofing
Zabezpieczenia:
- wyłaczenie autoryzacji na podstawie adresów IP (wszelkiego rodzaju
komend r*, plików rhosts)
-filtrowanie informacji na routerze dla ruchu wychodzącego i
wchodzącego
Ataki DoS (DDos – więcej niz 2 hosty biorą udział w ataku) używające
IP spoofing-u:
- „Smurf attack”
- TCP SYN flood
Spoofing
„Smurf attack” jest przykładem ataku DDoS, który pozwala atakujacemu o
niewielkiem mocy unieruchmic duzo potężniejszy host.
Spoofing
Atak ten przebiega według schematu:
Elementy:
- atakujący
- ofiara
- sieć wzmacniająca
Sieć wzmacniajaca –
wpuszcza pakiety których
adres docelowy jest broad
castem i zamienia je na
broadcast 2 poziomu.
Atakujący generuje pakiet
ICMP Echo Request z
adresem źródłowym ofiary i
adresem docelowym – broad
astem sieci wzmacniajacej
Spoofing
Pakiet jest wpuszczany do sieci wzmacniajacej i dystrybuowany do wszystkich
komputerów, które generują odpowiedź do hosta ofiary.
Zapobieganie:
- bycia źródłem ataku – filtrowanie wychodzących pakietów po adresie
źródłowym
- bycia ofiarą – filtrowanie w ruchu wchodzącym pakietów ICMP (groźba
znacznego obciążenia serwera)
- bycia elementem wzmacniającym – filtrowanie broadcastów
Smurf Amplifier Registry (SAR)
http://www.powertech.no/smurf/
Current top ten smurf amplifiers (updated every 5 minutes)
(last update: 2003-03-31 22:06:15 CET)
Network
#Dups
#Incidents
212.1.130.0/24
38
0
209.241.162.0/24
27
0
204.158.83.0/24
27
0