¿Podría uno causar colisión en el campo de identificación de fragmentos de IP y, por lo tanto, dificultar el trabajo del servidor?

1

¿Es posible que se produzca una colisión cuando un usuario malintencionado falsifica su IP para imitar a un usuario legítimo y la envía con los mismos valores de "Campo de identificación" src / dest / "Campo de identificación", lo que provoca el reensamblaje del datagrama IP dañado? ¿Cómo prevenirlo?

    
pregunta Bulat M. 19.12.2016 - 13:40
fuente

1 respuesta

0

Si un atacante puede leer paquetes IP porque nada le impide hacerlo en la red (por ejemplo, IPsec), entonces sí, puede enviar paquetes diseñados con el mismo campo de ID que los legítimos. IP no protege este valor de ser leído.

El atacante debe predecir cuál será el campo de Identificación en el paquete si aún no ha visto un fragmento o lo puede encontrar y envía un paquete / fragmento lo suficientemente rápido como para ser tenido en cuenta.

Hay una carrera entre el paquete / fragmento enviado al mismo tiempo por el usuario legítimo y el enviado por un atacante a menos que el atacante esté en una posición de hombre en el medio y pueda detener y reemplazar paquetes legítimos.

La forma en que se vuelven a montar los fragmentos depende de los sistemas operativos, uno puede preferir el primer fragmento que se ha recibido con un cierto desplazamiento, otro puede preferir el último (la primera opción es más común en los casos de superposición inversa, la segunda es más común en casos superpuestos hacia adelante). Un muy buen artículo se ha publicado años Hace acerca de eso.

Es difícil detectar y prevenir, se podrían usar los mismos mecanismos que para prevenir la suplantación de IP:

  • IPsec
  • Protecciones de capa 2 (802.1x ...)
  • Compruebe el origen de IP (filtre los paquetes desde fuera de su red que dicen estar dentro)

Pero nada en la IP puede evitarlo.

    
respondido por el Jeff Bencteux 19.12.2016 - 14:43
fuente

Lea otras preguntas en las etiquetas