Conceptos básicos - IP spoofing

Navega tus respuestas
-3

No puedo entender por qué la falsificación de IP (incluso básica) es muy limitada.

Supongamos que Bob y Alice están a punto de comunicarse y Eve puede ver la comunicación de la red, ¿por qué eve no puede usar la falsificación de IP para hacer "Man In The Middle"? Sé que hay un problema de TCP con estadísticas predecibles (ACK, secuencia), pero si estas informaciones no están cifradas y se pueden interceptar, Eve puede ver estas informaciones y, por lo tanto, es posible la falsificación.

En la misma idea, no puedo entender por qué, en una red local (sin DHCP), si configuro una dirección IP que ya usa otra, los mensajes no volverán a recibirme (¿caché ARP?). No estoy hablando solo de suplantación de identidad, pero supongo que establezco la misma dirección IP que la víctima, ¿cómo pueden los enrutadores decidir cuál es la "buena"?

Excepto el uso de la criptografía, ¿cómo garantizar la IP con la que me estoy comunicando?

    
pregunta crypto-learner 16.12.2014 - 17:14
fuente

3 respuestas

1

Si está directamente en la ruta de acceso de la información, no hay absolutamente nada que le impida fingir que es esa dirección IP. Si fueras el primer dispositivo en la red con la que Alice habló, podrías convencerla absolutamente de que eres el IP de Bob.

Esta es una gran parte de por qué los navegadores requieren certificados firmados para confiar en los sitios basados en SSL. Sin ese certificado firmado de confianza, no hay forma de estar seguros de que el servidor es quien dicen ser.

En cuanto a simplemente estar en la misma red, el problema son los enrutadores. Cuando se conecta a una red, los enrutadores deben estar informados de cuál es su dirección IP para que sepan en qué dirección deben enrutar esos paquetes. Estos se forman en tablas de enrutamiento. Dado que cada IP solo tiene un registro único, si otra computadora dice que esa IP se establece después de que se establece la primera, el enrutador simplemente lo ignora como un error y continúa enrutando la forma en que se encontraba.

Podrías correr en situaciones extrañas donde diferentes enrutadores piensan que diferentes interfaces de red son la IP adecuada y, según la dirección en la que se enrutan los paquetes, podrían terminar en dos lugares diferentes.

Además, si estuviera en una red no conmutada que solo utiliza concentradores (o, por ejemplo, una red inalámbrica con una clave común), de hecho sería posible interceptar el tráfico vinculado a otra dirección IP. No sería capaz de evitar que la otra computadora también reciba los mensajes en esos casos, por lo que sería difícil inyectar cualquier cosa con un número de secuencia para cualquier protocolo, pero sería capaz de monitorearlo completamente o simularlo por completo. si el sistema no estaba esperando una conexión.

En resumen, el problema principal se reduce a la ruta que toman los datos. La mayoría de las redes modernas son lo suficientemente inteligentes como para evitar el envío de lugares de datos a los que no tiene que ir (ya que esto es ineficiente). Si la red está transmitiendo datos en todas partes, entonces se vuelve mucho más fácil, pero aún con algunos desafíos si necesita evitar que el cliente real sepa sobre la manipulación (a menos que pueda actuar como guardián de la puerta entre ellos y el resto de la red). )

    
respondido por el AJ Henderson 16.12.2014 - 18:48
fuente
0

Imagina el escenario utilizando letras físicas, ya que es más fácil de visualizar.

Digamos que envío una carta con una dirección de devolución que no corresponde con mi casa real (o en algún lugar donde pueda recoger el correo). ¿Qué pasará con la carta? Siempre que la dirección de envío sea correcta, el servicio de correo entregará esta carta a la persona correcta. Sin embargo, cuando desean enviar una carta de devolución, la envían a la dirección que escribí en el sobre. Ahora, el servicio de correo no tiene forma de saber que, en realidad, mi dirección es diferente de la que figura en el sobre, por lo que la envían a la dirección especificada en el sobre. Ahora no tengo forma de recibir esa carta de devolución, ya que está en una ubicación diferente.

Para su segunda parte, si realmente cambié la dirección de mi casa, entonces comenzaría a recibir cartas enviadas a esa dirección. Sin embargo, no hay dos personas que puedan tener la misma dirección, porque entonces el servicio de correo no pudo identificar casas de manera única y, por lo tanto, entregar correo.

Esto es una analogía, pero se reproduce bastante cerca de la imagen real. En Internet, los paquetes pasan por varios dispositivos (llamados 'saltos') antes de llegar a su destino. Cada salto reenviará los paquetes a la dirección IP en el encabezado, sin pensar en dónde debe ir. Por lo tanto, si falsifica su dirección IP, se enviará, pero no recibirá ninguna respuesta. En cuanto a configurar la misma dirección IP como víctima, simplemente obtendrás un conflicto. El enrutador probablemente conectará ambos o el último para conectarse fuera de la red y no le permitirá unirse con la misma dirección. No tiene sentido lógico tener direcciones duplicadas en la red, y no hay forma de que el enrutador pueda manejar legítimamente este escenario.

    
respondido por el Chris Murray 16.12.2014 - 17:43
fuente
0

Por lo tanto, la comunicación no cifrada puede estar sujeta a Man in the Middle, la aleatorización de los números de secuencia a los que creo que se refiere es para frustrar las inyecciones de datos, es decir, alguien podría enviar un paquete al flujo y puede aceptarse. Si el número de secuencia es conocido. Por ejemplo, un servidor de seguridad puede realizar un seguimiento de una sesión de TCP para permitir la comunicación de vuelta a la red. Si un atacante puede adivinar la secuencia, existe la posibilidad de que los paquetes lleguen a la red desde un dispositivo no autorizado, incluso si el servidor de seguridad se restringe en función de fuente ya que la dirección de origen puede ser falsificada.

Sin embargo, la idea que puede tener es que, en un entorno conmutado, los paquetes de unidifusión no deben pasar por todos los puertos, por lo que tendría que convertir el conmutador en un concentrador, lo que probablemente se notaría, y si el administrador fuera de seguridad. conscientes de que ya pueden haber restringido los puertos para no permitir esto.

La otra pregunta se debe a que ARP, las tablas ARP normalmente se actualizan cada 5 minutos, por lo que si su máquina se enciende y dice que su MAC tiene esta IP, se colocará en la tabla ARP, entonces generalmente espera 5 minutos. hace lo mismo para actualizar el caché o cualquier paquete enviado actualizará el caché arp. Si el ciclo de actualización del otro dispositivo se produce justo después de su ciclo de actualización o si está enviando paquetes constantemente, verá una pequeña comunicación y se caerá. Hay funciones en los enrutadores para ayudar a frustrar las direcciones IP duplicadas, pero gran parte de ellas se realizan en el propio cliente, el cliente verá que hay una duplicación y deshabilitará su interfaz. Si tuviera que adivinar si el enrutador decidía qué IP es precisa, sospecharía que usa la edad. Esto se supone que la tabla ARP no está configurada manualmente.

Una forma en que puede asegurarse de que está hablando con la máquina correcta en texto claro en la misma red de transmisión, es usar el comando arp y asegurarse de que la MAC coincida con la máquina, por supuesto, es bastante trivial duplicar una MAC como Bueno, nada de esto es 100%, por lo que se creó el cifrado y la firma.

Espero que ayude

    
respondido por el Brett Littrell 16.12.2014 - 18:09
fuente

Lea otras preguntas en las etiquetas

Aclaración sobre la seguridad de un sitio web [cerrado] ¿Quién puede ayudarme a descifrar [cerrado]