69 votes

Jeff Atwood avatar

Les adresses IP sont-elles "triviales à falsifier" ?

Demandé el 3 de Décembre, 2009
Quand la question a-t-elle été
15163 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je lisais certaines des notes sur Le nouveau service DNS public de Google :

J'ai remarqué ce paragraphe dans la section sur la sécurité :

Jusqu'à ce qu'une solution standard à l'échelle du système pour les vulnérabilités du DNS soit universellement mise en œuvre, comme le protocole DNSSEC2, les résolveurs DNS ouverts doivent prendre indépendamment certaines mesures pour se protéger des menaces connues. De nombreuses techniques ont été proposées ; voir IETF RFC 4542 : Mesures pour rendre le DNS plus résistant aux réponses falsifiées. pour un aperçu de la plupart d'entre eux. Dans Google Public DNS, nous avons mis en œuvre, et nous recommandons, les approches suivantes :

  • Surdimensionnement des ressources de la machine pour se protéger contre les attaques DoS directes sur les résolveurs eux-mêmes. Comme il est facile pour les attaquants de falsifier les adresses IP, il est impossible de bloquer les requêtes sur la base de l'adresse IP ou du sous-réseau ; le seul moyen efficace de faire face à de telles attaques est d'absorber simplement la charge.

C'est un constat déprimant ; même sur Stack Overflow / Server Fault / Super User, nous utilisons fréquemment les adresses IP comme base pour les interdictions et les blocages de toutes sortes.

Penser qu'un attaquant "talentueux" pourrait trivialement utiliser l'adresse IP qu'il veut, et synthétiser autant de fausses adresses IP uniques qu'il veut, est vraiment effrayant !

Donc ma ou mes questions :

  • Est-ce que c'est vraiment que facile pour un attaquant de falsifier une adresse IP dans la nature ?
  • Dans l'affirmative, quelles sont les mesures d'atténuation possibles ?
Demandé el 3 de Décembre, 2009 par Jeff Atwood

Réponses

Trop de publicités?

3voto

Ondrej Sotolar avatar
Ondrej Sotolar Points 111

L'UDP est la principale raison pour laquelle cela est facile. En fait, Skype et Slingbox exploitent la possibilité de falsifier facilement les adresses IP dans l'UDP afin de " poinçon ' à travers le NAT et permettent un peer-to-peer facile.

Le protocole TCP est plus difficile puisqu'il nécessite un cycle SYN/ACK complet, mais vous pouvez toujours inonder le serveur de paquets SYN suspendus qui vont vers des adresses IP situées à plusieurs sauts de distance et bloquer un grand nombre de routeurs dans le processus.

Répondu el 3 de Décembre, 2009 par Ondrej Sotolar (111 Points )

2voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Comme mentionné ci-dessus, l'utilisation de proxys est triviale, et il existe un très grand nombre de proxys anonymes ouverts disponibles.

Même sans utiliser de proxy, je peux définir l'adresse MAC de mon pare-feu sur n'importe quelle nouvelle valeur arbitraire, réinitialiser mon modem câble, et mon FAI m'attribuera une toute nouvelle adresse IP brillante.

Et ce n'est qu'un début. Il existe de nombreux autres moyens de contourner les interdictions d'IP.

Répondu el 3 de Décembre, 2009 par Utilisateur non enregistré (0 Points )

2voto

TonyB avatar
TonyB Points 383

Dans l'affirmative, quelles sont les mesures d'atténuation possibles ?

On ne peut pas faire grand-chose du côté de la réception.

Le fournisseur d'accès Internet du faussaire devrait filtrer son trafic sortant afin que ses clients ne puissent pas usurper des adresses IP provenant de différents réseaux.

Il ne s'agit que de quelques lignes dans la configuration du routeur, il n'y a donc pas d'excuse valable pour ne pas le faire.

Il existe un moyen de suivre l'attaquant, mais il nécessite la coopération de vos fournisseurs en amont : http://www.cymru.com/Documents/dos-and-vip.html

Répondu el 3 de Décembre, 2009 par TonyB (383 Points )

2voto

Joey deVilla avatar
Joey deVilla Points 4487

Comme d'autres l'ont souligné, il est assez facile de falsifier le protocole UDP, mais pas le protocole TCP.

La défense privilégiée, mais malheureusement pas universellement déployée, est le filtre de sortie.

Pour les FAI utilisant des services DSL etc, chaque ligne virtuelle doit être configurée avec ip verify unicast reverse-path (ou tout autre équivalent non-Cisco) qui bloque tout paquet dont l'adresse IP source ne fait pas partie des plages connues pour être acheminées sur cette ligne.

Répondu el 3 de Décembre, 2009 par Joey deVilla (4487 Points )

1voto

Kyle avatar
Kyle Points 1839

Je me souviens avoir programmé des sockets à la fin des années 90 avec ce qui était probablement Visual Basic, et nous pouvions définir l'IP source sur notre connexion. Je me souviens vaguement que lorsque nous l'avons essayé, netstat -an montrait l'IP source réelle, mais les journaux d'Apache montraient l'IP usurpée ; et je pense qu'Apache transmettait l'IP usurpée aux modules perl et ainsi de suite.

Répondu el 3 de Décembre, 2009 par Kyle (1839 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X