Sé que el filtrado de Ingress se usa para probar y verificar que un paquete
en realidad vino de la dirección ip de la que dice haber venido.
Pero, ¿cómo es posible verificar esto cuando todo lo que tiene es el paquete?
El filtrado de ingreso verifica que la dirección IP de origen en el paquete se encuentra en la lista de direcciones IP de origen permitidas. No tiene forma de verificar si el paquete en realidad vino de allí o no.
¿Contra qué estás verificando?
Está verificando la IP en el paquete contra la lista mantenida en el filtro. Si el filtro solo permite 192.168.1.0/24 direcciones de origen, y llega un paquete con una dirección de origen 172.16.1.23, no permitirá ese paquete. Por otro lado, un paquete con un 192.168 .1.45 dirección de origen se permitirá .
Tal vez una explicación de cómo funciona la suplantación de direcciones IP podría ayudar.
En la falsificación de IP, el cliente crea un paquete con una dirección de origen falsa. Cuando el filtro mira ese paquete, confiará en la dirección de origen que ve, y lo ingresará. La suplantación de la dirección IP es el método utilizado para omitir el filtrado de ingreso. Sin embargo, cualquier respuesta a ese paquete irá, no al remitente malintencionado, sino al propietario desprevenido de esa dirección de origen falsificada. Esto limita la usabilidad de la suplantación de IP a los casos en que
- No necesita una sesión de paquetes de ida y vuelta, o
- Usted controla la infraestructura de red necesaria para abusar de esa ruta de retorno.
Es posible que desee leer sobre el Mitnick Attack , que es quizás el ejemplo más famoso de alguien que administra para falsificar una dirección y hacer que funcione lo suficiente como para sacar algo de la sesión. En efecto, logró simular una sesión con una dirección de origen falsificada: a) prediciendo el comportamiento del servidor que no podía ver yb) suprimiendo las respuestas naturales del objetivo falsificado a los paquetes "no solicitados".
La suplantación de IP se ve más comúnmente con cosas como los ataques DDoS, donde los atacantes enviarán paquetes falsificados porque no les importa una respuesta; solo están tratando de inundar a la víctima con paquetes. La modificación de la dirección de origen hace que sea más fácil disfrazar la fuente del ataque y más difícil de filtrar (ya que la dirección falsificada puede cambiar cuando quiera).
También verás que se menciona "Egress Filtering": en el caso de DDoS, esto significa que cuando un usuario de cable módem en Hoboken, Nueva Jersey envía un paquete, su ISP verificará que está usando una de sus direcciones y se retirará. o bloquearlo si no lo es. Si todos los ISP realizaran el filtrado de egreso, DDoS no podría utilizar direcciones falsas para confundir a los defensores. Lamentablemente, se incluye en la categoría de "hacer algo bien que beneficia a otras personas pero no a la persona que tiene que hacerlo", por lo que no es tan común como debería ser.