IP spoofing

IP spoofing označuje v informatice vytvoření IP datagramu s falešnou zdrojovou IP adresou, který je následně odeslán počítačovou sítí k cílovému počítači, před kterým má být zatajena totožnost odesílatele. IP spoofing slouží k vedení útoků (např. DoS) a podobně. Na většině systémů je pro vytvoření datagramu s podvrženou IP adresou nutný raw přístup k internet soketu, což je umožněno pouze správci počítače, nikoliv běžnému uživateli.

Popis

Základním protokolem Internetu je IP protokol, který pracuje s IP datagramy. V hlavičce každého IP datagramu je uvedena zdrojová a cílová IP adresa. Zdrojová adresa identifikuje odesílatele paketu. Falšováním záhlaví může útočník odeslat IP datagram tak, aby to vypadalo, že byl odeslán z jiného počítače. Počítač přijímající IP datagramy s falešnou zdrojovou adresou pošle odpověď na podvrženou adresu. Tato technika se používá tam, kde útočník nepotřebuje na odeslaný IP datagram reagovat nebo když může odpověď odchytit na zpáteční cestě IP datagramu.

Aplikace

IP spoofing se nejčastěji používá při útocích typu Denial of Service (DoS). V těchto útocích je cílem zaplavit cílový počítač IP datagramy, přičemž se útočník typicky nestará o obdržení odpovědi, takže je možné využít IP datagramy s falešnými zdrojovými adresami. Další výhodou těchto falšovaných IP datagramů je, že je těžší je filtrovat, protože každý falešný IP datagram přichází z jiné adresy a je tak skryt skutečný zdroj útoku.

IP spoofing může být také způsob útoku používaný síťovými útočníky, kteří chtějí prorazit bezpečnostní opatření sítě jako je autentizace na základě IP adresy. Tento způsob útoku na vzdálený systém může být velmi obtížný, neboť vyžaduje vyzkoušení tisíců různých zdrojových IP adres. Tento typ útoku je nejvíce efektivní tam, kde si počítače navzájem příliš důvěřují. Je běžné, že systémy ve vnitřních sítích LAN si vzájemně důvěřují. Uživatelé se mohou přihlásit bez uživatelského jména a hesla pokud se připojují z jiného počítače na vnitřní síti (a tak již musí být přihlášeni). Spoofing spojení z důvěryhodného počítače pak umožní útočníkovi přístup na cílový počítač bez ověření.

Služby náchylné na IP spoofing

Na IP spoofing je náchylná taková služba, která se pro ověření protistrany spoléhá na IP adresu. Mezi ně patří níže vyjmenované služby (některé však mohou obsahovat dodatečné mechanismy ověření protistrany, čímž riziko IP spoofingu eliminují):

• RPC (Remote Procedure Call) služby (NFS, SMB)
• R services suite (rlogin, rsh, atd.)
• X Window System (bez cookies)

Obrana proti spoofingu

Proti IP spoofing útokům se lze bránit filtrováním IP datagramů. Brána do vnitřní sítě LAN (tj. firewall) obvykle blokuje IP datagramy, které z vnějšku přicházejí se zdrojovou adresou nacházející se ve vnitřní síti. V ideálním případě by brána měla provádět též filtrování odchozích datagramů, které by měly mít zpáteční adresu pouze z rozsahu, jaký je oficiálně používán. Také se doporučuje, aby se implementované síťové protokoly a služby při autentizaci nespoléhaly na zdrojovou IP adresu.

TCP

Některé vyšší vrstvy síťových protokolů poskytují vlastní obranu proti IP spoofingu. Např. TCP používá posloupnost čísel domluvených se vzdáleným počítačem tak, aby příchozí IP datagramy byly součástí navázaného spojení. Útočník běžně nevidí žádné pakety s odpověďmi. V takovém případě tedy musí útočník pořadové číslo uhodnout, aby se vytvořilo spojení. Díky špatné implementaci v mnoha starších operačních systémech a síťových zařízeních lze TCP sekvenční čísla předvídat, což usnadňuje útok.

Další definice

Termín spoofing se někdy používá k odkazování na falšované záhlaví. Vložení nepravdivých nebo zavádějících informací v e-mailu nebo netnews záhlaví. Falšovaná záhlaví jsou používány k zakrytí původu zprávy. Jde tedy o obyčejnou techniku spammerů, kteří chtějí zakrýt původ svých zpráv.

Reference

V tomto článku byl použit překlad textu z článku IP address spoofing na anglické Wikipedii.