सवाल क्या आईपी पते "फोर्ज करने के लिए तुच्छ" हैं?


मैं कुछ नोट्स के माध्यम से पढ़ रहा था Google की नई सार्वजनिक DNS सेवा:

मैंने इस अनुच्छेद सुरक्षा अनुभाग के तहत देखा:

जब तक DNS भेद्यता के मानक सिस्टम-व्यापी समाधान को सार्वभौमिक रूप से कार्यान्वित नहीं किया जाता है, जैसे कि DNSSEC2 प्रोटोकॉल, खुले DNS रिज़ॉल्यूवर को ज्ञात खतरों के खिलाफ स्वतंत्र रूप से कुछ उपाय करने की आवश्यकता होती है। कई तकनीकों का प्रस्ताव दिया गया है; देख आईईटीएफ आरएफसी 4542: फर्जी उत्तरों के खिलाफ DNS को अधिक लचीला बनाने के उपाय उनमें से ज्यादातर के एक सिंहावलोकन के लिए। Google सार्वजनिक DNS में, हमने कार्यान्वित किया है, और हम निम्नलिखित दृष्टिकोणों की अनुशंसा करते हैं:

  • ओवरप्रोविजनिंग मशीन संसाधन खुद को संकल्पकों पर प्रत्यक्ष डीओएस हमलों के खिलाफ सुरक्षा के लिए। चूंकि हमलावरों के लिए आईपी पते छोटे होते हैं, इसलिए आईपी पते या सबनेट के आधार पर प्रश्नों को अवरुद्ध करना असंभव है; ऐसे हमलों को संभालने का एकमात्र प्रभावी तरीका केवल भार को अवशोषित करना है।

यह एक निराशाजनक अहसास है; स्टैक ओवरफ़्लो / सर्वर फॉल्ट / सुपर उपयोगकर्ता पर भी, हम अक्सर आईपी पते का उपयोग सभी प्रकार के प्रतिबंध और ब्लॉक के आधार के रूप में करते हैं।

यह सोचने के लिए कि एक "प्रतिभाशाली" हमलावर जो भी आईपी पता चाहता है उसका उपयोग कर सकता है, और जितना चाहें उतने अनूठे नकली आईपी पते को संश्लेषित कर सकता है, वास्तव में डरावना है!

तो मेरा प्रश्न है:

  • सच्ची में उस एक हमलावर के लिए जंगली में एक आईपी पता बनाने के लिए आसान है?
  • यदि हां, तो क्या कमजोर हैं?

64
2017-12-03 17:53


मूल


स्पूफेड आईपी को आईपी आधारित प्रतिबंधों के लिए कोई समस्या नहीं होनी चाहिए, क्योंकि इसका एक अंतिम उद्देश्य पहुंच प्राप्त करना है, जिसके लिए वैध उत्तरों की आवश्यकता है। लेकिन कुछ अधिक जोखिम हैं: आईपी कई लोगों (स्कूलों, कार्यस्थलों, इंटरनेट कैफे, ...) और आईपी द्वारा साझा किया जाता है जो गैर स्थैतिक डीएसएल पर मॉडेम रीसेट के बाद कुछ भी बदल सकता है। - Halil Özgür
स्पूफर्ड पते का उपयोग करके कई आक्रमणों के लिए पहुंच प्राप्त करना प्राथमिक लक्ष्य नहीं है। मुझे संदेह है कि DNS का उपयोग करके विभिन्न प्रवर्धन हमलों अधिक बार होते हैं। DNS सुंदर है (DNSSEC के साथ बदतर) - आप एक छोटे से, <100 बाइट पैकेट को एक स्पूफ़ेड स्रोत पते के साथ भेज सकते हैं, जो स्पूफ़ेड पते को उत्तर के रूप में 7x से 40x प्रवर्धन प्राप्त करने का कारण बनता है। - Michael Graff


जवाब:


जैसा कि कई अन्य लोगों ने बताया है, आईपी हेडर फोर्ज करने के लिए तुच्छ हैं, जब तक कि कोई प्रतिक्रिया प्राप्त करने की परवाह नहीं करता है। यही कारण है कि इसे ज्यादातर यूडीपी के साथ देखा जाता है, क्योंकि टीसीपी को 3-तरफा हैंडशेक की आवश्यकता होती है। एक उल्लेखनीय अपवाद है एसवाईएन बाढ़, जो टीसीपी का उपयोग करता है और प्राप्तकर्ता मेजबान पर संसाधनों को जोड़ने का प्रयास करता है; दोबारा, जैसे उत्तरों को त्याग दिया जाता है, स्रोत पता कोई फर्क नहीं पड़ता।

स्रोत पते को धोखा देने के लिए हमलावरों की क्षमता का एक विशेष रूप से बुरा दुष्प्रभाव एक है backscatter आक्रमण। एक उत्कृष्ट वर्णन है यहाँ, लेकिन संक्षेप में, यह एक पारंपरिक डीडीओएस हमले के विपरीत है:

  1. एक बॉटनेट का नियंत्रण प्राप्त करें।
  2. उपयोग करने के लिए अपने सभी नोड्स को कॉन्फ़िगर करें एक ही स्रोत आईपी पता दुर्भावनापूर्ण पैकेट के लिए। यह आईपी पता आपका अंतिम शिकार होगा।
  3. अपने सभी नियंत्रित नोड्स से इंटरनेट पर विभिन्न पते पर पैकेट भेजें, बंदरगाहों को लक्षित करना जो आम तौर पर खुले नहीं हैं, या वैध बंदरगाहों (टीसीपी / 80) से जुड़ रहे हैं जो पहले से ही मौजूदा लेनदेन का हिस्सा बनने का दावा करते हैं।

(3) में उल्लिखित मामलों में से किसी एक में, कई मेजबान आईसीएमपी पहुंच योग्य या टीसीपी रीसेट के साथ प्रतिक्रिया देंगे, जिसका लक्ष्य है दुर्भावनापूर्ण पैकेट का स्रोत पता। हमलावर के पास अब संभावित रूप से हजारों असंगत मशीनें हैं जो अपने चुने हुए शिकार पर डीडीओएस हमले कर रही हैं, सब कुछ एक धोखाधड़ी स्रोत आईपी पते के उपयोग के माध्यम से।

शमन के मामले में, यह जोखिम वास्तव में एक है कि केवल आईएसपी (और विशेष रूप से ट्रांजिट के बजाय ग्राहक पहुंच प्रदान करने वाले आईएसपी) पते दे सकते हैं। ऐसा करने के दो मुख्य तरीके हैं:

  1. प्रवेश फ़िल्टरिंग - आपके नेटवर्क में आने वाले पैकेट को आने वाले इंटरफ़ेस के बहुत दूर की ओर स्थित पता श्रेणी से प्राप्त किया जाता है। कई राउटर विक्रेताओं जैसे सुविधाओं को लागू करते हैं यूनिकास्ट रिवर्स पथ अग्रेषण, जो राउटर की रूटिंग और अग्रेषण तालिकाओं का उपयोग यह सत्यापित करने के लिए करता है कि आने वाली पैकेट के स्रोत पते की अगली हॉप आने वाली इंटरफ़ेस है। यह नेटवर्क में पहली परत 3 हॉप में सर्वोत्तम प्रदर्शन किया जाता है (यानी आपका डिफ़ॉल्ट गेटवे।)

  2. उल्लंघन फ़िल्टरिंग - यह सुनिश्चित करना कि आपके नेटवर्क को छोड़ने वाले पैकेट केवल आपके पते से स्रोत हैं। फ़िल्टरिंग में प्रवेश करने के लिए यह प्राकृतिक पूरक है, और अनिवार्य रूप से 'अच्छा पड़ोसी' होने का हिस्सा है; यह सुनिश्चित करना कि दुर्भावनापूर्ण ट्रैफ़िक द्वारा आपके नेटवर्क से समझौता किया गया हो, फिर भी उस ट्रैफ़िक को आपके द्वारा सहकर्मी नेटवर्क पर अग्रेषित नहीं किया जाता है।

इन दोनों तकनीकों को 'एज' या 'एक्सेस' नेटवर्क में किए जाने पर सबसे प्रभावी और आसानी से कार्यान्वित किया जाता है, जहां प्रदाता के साथ क्लाइंट इंटरफ़ेस होते हैं। एकाधिक पथ और असममित रूटिंग की जटिलताओं के कारण एक्सेस लेयर के ऊपर प्रवेश / प्रवेश फ़िल्टरिंग अधिक कठिन हो जाती है।

मैंने इन तकनीकों (विशेष रूप से फ़िल्टरिंग फ़िल्टरिंग) को एंटरप्राइज़ नेटवर्क के भीतर बहुत प्रभावशाली उपयोग किया है। शायद अधिक सेवा प्रदाता अनुभव वाला कोई व्यक्ति इंटरनेट पर प्रवेश / प्रवेश फ़िल्टरिंग को तैनात करने की चुनौतियों में अधिक अंतर्दृष्टि दे सकता है। मैं हार्डवेयर / फर्मवेयर समर्थन को एक बड़ी चुनौती के साथ-साथ अन्य देशों में समान नीतियों को लागू करने के लिए अपस्ट्रीम प्रदाताओं को मजबूर करने में असमर्थ होने की कल्पना करता हूं ...


51
2017-12-04 01:57



बुरा लगता है। ऐसे में क्या कोई व्यवस्थापक ऐसा कर सकता है यदि उसे अपने सर्वर को इस तरह लक्षित किया जाए? क्या आईपीएमपी पैकेट और सभी आईपी से टीसीपी रीसेट संदेशों को अस्थायी रूप से अवरुद्ध करना संभव हो सकता है? क्या आप इस तरह के कुछ अर्ध-सामान्य तरीके से भी काम करने में सक्षम होंगे? - UpTheCreek


क्या यह वास्तव में हमलावर के लिए आसान है   जंगली में एक आईपी पता बनाने के लिए?

निश्चित रूप से, अगर मुझे वास्तव में कोई प्रतिक्रिया प्राप्त करने की परवाह नहीं है, तो मैं किसी भी स्रोत पते का उपयोग करके पैकेट को आसानी से भेज सकता हूं। चूंकि कई आईएसपी में वास्तव में अच्छा बहिष्कार नियम नहीं है, इसलिए जो भी मैं आम तौर पर फोर्ज करता हूं उसे वितरित किया जाएगा।

अगर हमलावर को वास्तव में दो तरह के संचार की आवश्यकता होती है तो यह बहुत मुश्किल हो जाता है। अगर उन्हें दो तरह के संचार की ज़रूरत है तो यह किसी प्रकार की प्रॉक्सी का उपयोग करना आसान हो जाता है। यदि आप जानते हैं कि आप क्या कर रहे हैं तो सेट अप करना बहुत आसान है।

आईपी ​​पते से लोगों को प्रतिबंधित करना एसएफ / एसओ / एसयू पर मामूली प्रभावी है क्योंकि साइट http / https का उपयोग करती है जिसके लिए दो तरह के संचार की आवश्यकता होती है।


46
2017-12-03 17:59



http यहां कुंजी है। DNS यूडीपी का उपयोग करता है, इसलिए सभी संचार एकल पैकेट के माध्यम से प्रोटोकॉल में कोई पावती नहीं है। - noah
अनुमान ईमेल की तरह है। जब तक आप जवाब प्राप्त नहीं करना चाहते हैं, तब तक आप जो भी पता चाहते हैं उसे भेज सकते हैं - Jorge Bernal
@ जॉर्ज: निश्चित रूप से। ईमेल / डाक मेल समानता उपयोगकर्ताओं को समाप्त करने के लिए इसका वर्णन करने के लिए उपयोग करने के लिए एक महान है। - Evan Anderson
डीएनएस में, टीसीपी का भी इस्तेमाल किया जा सकता है, लेकिन वर्तमान में यह लोगों को डराता है। हालांकि, कोई एसीके अंतर्निहित नहीं है क्योंकि उत्तर एसीके है। - Michael Graff
@noah - वास्तव में टीसीपी कुंजी है, HTTP नहीं। टीसीपी फोर्ज करना असंभव नहीं है, लेकिन यह यूडीपी की तुलना में 100 गुना कठिन है। - Alnitak


ज़ोरदेचे के उत्तर के लिए अवधारणा का थोड़ा सबूत (उबंटू के साथ):

$ sudo apt-get install hping3
$ sudo hping3 -1 --spoof 11.10.10.20 www.google.com
HPING www.google.com (eth0 64.233.169.105): icmp mode set, 28 headers + 0 data bytes

फिर एक और कंसोल में:

$ sudo tcpdump -i eth0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:30:19.439737 IP 11.10.10.20 > yo-in-f105.1e100.net: ICMP echo request, id 31297, seq 0, length 8

तो हाँ, मामूली, लेकिन तब आपको जवाबों का जवाब नहीं मिला है जब तक कि आपके पास 11.10.10.20 तक पहुंच न हो या www.google.com और 11.10.10.20 के बीच कहीं भी एक स्नफ़फर न हो (और इसे सामने में होना चाहिए किसी भी अंत में, क्योंकि आप पैकेट के मार्ग की भविष्यवाणी नहीं कर सकते हैं)। इसके अलावा, स्पूफर का गेटवे (आईएसपी) उस पैकेट को दरवाजे से बाहर नहीं जाने दे सकता है अगर उनके पास कुछ प्रकार का आईपी निरीक्षण चल रहा है और देखें कि स्रोत खराब है।


22
2017-12-03 18:28



लेकिन आईएसपी आमतौर पर पैकेट निरीक्षण के साथ खुद को परेशान नहीं करते हैं? - Pacerier


आईपी ​​पते एक दिशात्मक के लिए फोर्ज करना आसान है यूडीपी यातायात। टीसीपी पैकेट के लिए, आप केवल एसआईएन पैकेट के साथ आधे खुले टीसीपी कनेक्शन प्राप्त करने के लिए तैयार हो सकते हैं। यह एक तरह का डॉस हमला का आधार भी है। लेकिन आप एक धोखेबाज पते के साथ एक HTTP कनेक्शन नहीं बना सकते हैं (उदाहरण के लिए, यदि आप एक ही आईपी पते का उपयोग करने के लिए सत्र फ़िल्टर कर रहे हैं)। हां, आप पैकेट में एक आईपी पता खराब कर सकते हैं, यह सेवा हमलों के कुछ प्रकार के इनकार के लिए केवल उपयोगी है।


13
2017-12-03 18:24



क्या आपका मतलब है कठिन एक धोखेबाज पते के साथ एक HTTP कनेक्शन बनाने के लिए, या यह भी नहीं मुमकिन ऐसा करने के लिए? - Pacerier
खुले इंटरनेट पर, यह असंभव है। कुछ ट्रिक्स हैं यदि आप एक ही लैन पर हैं जो अन्य कंप्यूटर को ट्रैफिक भेजने में ट्रिक कर सकते हैं (web.eecs.umich.edu/~zhiyunq/pub/...)। आप इस तरह से सोच सकते हैं। यूडीपी एक पोस्टकार्ड भेजने की तरह है। आप अपने इच्छित पते पर कोई नाम लिख सकते हैं। टीसीपी एक वार्तालाप की तरह है जहां आप सही रिटर्न पता नहीं डालते हैं, तो आप वार्तालाप जारी रखने में सक्षम नहीं होंगे। यहां कुछ अन्य उत्तरों ने इसे बेहतर समझाया है। - FryGuy


GOOG आलेख स्पष्ट रूप से DNS पर चर्चा कर रहा था। DNS यूडीपी और टीसीपी पैकेट दोनों का उपयोग करता है। यूडीपी वाले जाली जा सकते हैं, लेकिन टीसीपी नहीं। टीसीपी एक की आवश्यकता है 3 रास्ता हैंडशेक। यदि एक टीसीपी पैकेट के लिए आईपी पता जाली है तो फोर्जिंग कंप्यूटर को प्रतिक्रिया प्राप्त नहीं होगी और कनेक्शन असफल हो जाएगा। जैसा कि अन्य उत्तरों में उल्लिखित यूडीपी है, 'आग और भूल' है और इसके लिए कोई प्रतिक्रिया संचार की आवश्यकता नहीं है। इस कारण से डीओएस हमले लगभग विशेष रूप से यूडीपी पैकेट के रूप में आते हैं।

स्टैक ओवरफ़्लो और पारिवारिक साइटों के संदर्भ में, ताकुन डाइकन द्वारा उठाए गए मुद्दे बहुत मान्य हैं। किसी के आईएसपी से नया आईपी पता पाने के कई तरीके हैं। एक मैक पता बदलना स्पष्ट रूप से सबसे आसान है और कई आईएसपी के लिए काम करता है। इसके अलावा, बहुत से लोग जो शांतता तक हैं, सार्वजनिक प्रॉक्सी या टीओआर का उपयोग कर सकते हैं। उन पैकेटों के लिए उत्पत्ति आईपी को स्पष्ट रूप से अवरुद्ध करना सिर्फ प्रॉक्सी या टीओआर समाप्ति नोड को अवरुद्ध करेगा।

तो आईपी पते को अवरुद्ध कर रहा है? नरक हाँ यह है। लेकिन आप त्रुटियों के साथ खत्म हो जाएगा। आप कुछ आईपी को अवरुद्ध करेंगे जो वास्तव में समस्या का स्रोत नहीं हैं (यानी प्रॉक्सी) और आप लोगों को आईपी बदलकर अपने ब्लॉक से परहेज करेंगे। वह व्यक्ति जो प्रतिबंधित आईपी प्राप्त करने के लिए पर्याप्त दुर्भाग्यपूर्ण है, वह साइटों के एसओ परिवार तक पहुंचने में सक्षम नहीं होगा। लेकिन त्रुटि मूल्यांकन करें छोटा होना चाहिए। जब तक आप आईपी के विशाल सेट को अवरुद्ध नहीं कर रहे हैं। लेकिन अगर आप दिन में एक या दो को अवरुद्ध कर रहे हैं, तो आपको ठीक होना चाहिए।

आप एक और अधिक परिष्कृत योजना शुरू करना चाह सकते हैं जहां आप ब्लॉक करते हैं, लेकिन केवल एक अवधि के लिए, एक वर्ष की तरह। यदि आपका नेटवर्क बैंडविड्थ थ्रॉटलिंग या कनेक्शन सीमित करने में सक्षम है, तो आप एक ऐसी योजना पर भी विचार कर सकते हैं जहां आपकी साइट पर अपाचे बेंचमार्क चलाने वाले डच बैग बहुत सीमित बैंडविड्थ के साथ पिंजरे में डाल दें।


11
2017-12-03 18:20



आप जाली जा सकते हैं। बस टीसीपी सत्र अपहरण को देखो। google.com/search?q=hijack+tcp+session - Dan
जब तक हमलावर के पास यातायात धारा तक पहुंच न हो, तब तक आधुनिक ऑपरेटिंग सिस्टम के साथ टीसीपी अनुक्रमित हमले बहुत अव्यवहारिक होते हैं। यदि वे किसी भी तरह से बीच में हैं तो उन्हें शायद टीसीपी कनेक्शन को अपहरण करने की भी आवश्यकता नहीं है। - Evan Anderson


आईपी ​​स्पूफिंग जारी रहेगी क्योंकि आईएसपी आलसी हैं।

मेरा आईएसपी अच्छी तरह से जानता है कि मैं एक विशिष्ट पते पर हूं, या कम से कम सबनेट मैं हूं। फिर भी मैं किसी भी स्रोत पते का उपयोग कर सकता हूं। ऐसा क्यों है? बस, लागत।

अगर मैं यहाँ और वहां कुछ पते नकली करता हूं, तो यह मेरे आईएसपी को कुछ भी नहीं देता है। यदि मेरे आईएसपी के प्रत्येक उपयोगकर्ता ने 1:00 और 2:00 के बीच एक पैकेट फिक्र किया, तो यह अभी भी रडार पर शायद ही कभी एक ब्लिप होगा। हालांकि, जब एक बोनेट कई आईएसपी पर कई मेजबानों से कई स्पूफेड पैकेट भेजता है, तो लक्ष्य मशीन या नेटवर्क खत्म हो जाता है।

वित्तीय हकीकत यह है कि जब तक आप पर हमला नहीं किया जाता है, तब तक स्पूफिंग लागत कुछ भी नहीं होती है। ग्राहक के पास फ़िल्टरिंग को लागू करने के लिए पैसे खर्च करते हैं, और पैसा खर्च करने वाले व्यक्ति को यह पता लगाने के अलावा बहुत कम रिटर्न मिलता है कि वे अच्छे नेटवर्क नागरिक हैं।

यूडीपी और आईसीएमपी नकली के लिए सबसे आसान है, लेकिन टीसीपी भी संभव है। इसके लिए एक असुरक्षित रिमोट ओएस की आवश्यकता है, जो शोषण के लिए पूर्वानुमानित अनुक्रम संख्या का उपयोग करता है। कभी-कभी यह भार संतुलन मशीन है जो अनुक्रम संख्याओं को बदलती है और उन्हें अनुमानित बनाती है। तो, टीसीपी संभव है - लेकिन कठिन है।

डीएनएस एंटी-स्पूफिंग ज्यादातर किसी रिकर्सिव रिज़ॉल्वर को झूठा जवाब सबमिट करने से रोकने के सुरक्षा पक्ष पर केंद्रित है। यूडीपी के बाढ़ पहलू एक छोटी सी क्वेरी के अलावा DNS विशिष्ट नहीं हैं (कहें, '।' के लिए) बल्कि बड़ी प्रतिक्रिया का कारण बनेंगे। इस प्रकार, यह एक अच्छा प्रवर्धन वेक्टर बनाता है। वहां काम करने वाले कई अन्य यूडीपी प्रोटोकॉल हैं, लेकिन DNS हर जगह उपयोग में है, और मशीनों को हमलों को बढ़ाने के लिए उपयोग करना आसान है।

डीएनएसईसीसी इससे भी बदतर हो जाता है, यूडीपी पैकेट के साथ जो आकार में 4k तक पहुंच सकता है।


9
2017-12-03 20:00





जहां तक ​​डीएनएस-आधारित (डी) डॉस हमलों का संबंध है, आईपी पते फोर्ज करने के लिए तुच्छ हैं, क्योंकि वे आमतौर पर आग और भूलने वाले यूडीपी पैकेट का मामला हैं। HTTP यातायात के लिए, यह मामला नहीं है, इसलिए आपको वेब सर्वर के रूप में एक ही स्थानीय नेटवर्क पर होना चाहिए (बिल्कुल, संभवतः, आपकी साइट कहां होस्ट की गई है) के आधार पर, या इंटरमीडिएट राउटर को नियंत्रित करें।


6
2017-12-03 18:02