Write-up zu IP Spoofing #
Idee hinter IP spoofing #
Spoofing bedeutet frei übersetzt Manipulation, Verschleierung und bezeichnet bei IP Spoofing das Vortäuschen einer anderen IP-Adresse. Das kann im Internet aber auch im Intranet verwendet werden. Falls IP basierte Authentication eingesetzt wird, kann z.B. diese so umgangen werden.
Das Tool auf dem eigenen PC sendet verschiedene gefälschte Pakete, um festzustellen, ob diese das eigene Netzwerk erfolgreich verlassen und die Server vom Tool-Hersteller erreichen können (Egress-Spoofing). Sie testen z. B. mit Quelladressen innerhalb (intern) des eigenen Netzwerks, die aber nicht dem eigenen Host zugewiesen sind, sowie mit Quelladressen, die gar nicht im eigenen Netzwerk liegen. Wenn sich der Host innerhalb eines unabhängig gerouteten /24-Präfixes befindet, testet es auch Adressen in einem benachbarten /23, /22 etc. Sie testen auch mit Quelladressen, die für private Netzwerke vorgesehen sind. Sie senden auch verschiedene gefälschte Pakete, um festzustellen, ob sie erfolgreich in das eigene Netzwerk eindringen und den Client erreichen können (Ingress-Spoofing), sofern das Tool nicht hinter einem NAT verwendet wird. Sie testen mit Quelladressen im Zielnetzwerk selbst. Wie bei den Egress-Tests testen sie auch mit Quelladressen, die für private Netzwerke bestimmt sind. (aus 3.1 What information does the tool collect about my network?)
Fragen #
Ist dies ein realistischer Angriff über das Internet mit TCP/IP? #
Ja man könnte z.B. ein System mit SYN Packeten fluten lassen. Dazu baut man eine TCP Verbindung zu einem zufälligen System auf, fälscht jedoch die Absender-IP Adresse zur IP Adrese des Opfers und lässt so die SYN-Pakete zum Opfer senden.Das ist eine Art von Denial of Service (DoS). Es gibt jedoch jede Menge Ansatzpunke, um dieses Problem in den Griff zu bekommen:
- Der Netzwerkinfrastruktur ist bekannt, wer welche IP Adresse hat und ob die Absender-IP auch wirklich im eigenen Netz ist. So können Outbound-Pakete gefiltert werden (z.B. durch den ISP).
- Der Netzwerkinfrastruktur ist bekannt, wer welche IP Adresse hat und kann so feststellen, ob die Absender-IP nicht im eigenen Netz hätte sein sollen. So können Inbound-pakete gefilter werden (z.B. durch den ISP).
- TCP hat Sequenznummern und diese sollen gemäss Spezifikation nicht erraten werden können. Dadurch kann bereits in der Firewall festgestellt werden, ob es die Verbindung überhaupt gibt und Pakete verworfen werden.
Wie realistisch die Attacke ist, kann mittels dem in der Übung verlinktem Tool festgestellt werden. In den Country Stats ist ersichtlich, dass es immer noch ein Problem ist. In Deutschland gibt es 30 /24 IPv4 Blöcke, in den gespooft werden kann. Auf die Website weisst in 4.1 - Is spoofing still really a significant attack vector? Don’t ISPs deploy uRPF to prevent it? darauf hin, dass es immer noch eine relevante Attacke ist. 67% der weltweiten AS blocken keine externen Pakete, die eine IP-Absender-Adresse aus ihrem eigenen Netzwerk haben.
Is this a realistic attack over the internet with UDP/IP - explain #
Ja, da z.B. das DNS System über UDP funktioniert und eine DNS Amplification Attacke gemacht werden könnte. Eine Amplification Attacke (zu deutsch verstärkende Attacke) nutzt aus, dass eine kleines Paket des Angreifers ein grosser Aufwand beim Opfer auslöst. Im konkreten Falls der DNS Amplification Attacke löst eine kurze Anfrage bei einem offenen DNS Server eine lange Antwort in aus, die dann zu einem Opfer gesendet wird, falls die Anfrage eine gefälschte Absender-IP hatte.
Welches Protokoll versucht das Spoofer-Tool zu fälschen? #
Im Wireshark ist DNS, TCP und UDP Verkehr zu sehen.
Finden Sie Ihre eigenen Ergebnisse auf caida.org #
Je nachdem ob man zugestimmt hat ja, findet man sie auf caida.org.