Spoof IP address después de un protocolo TCP

8

Sé que no es posible realizar un TCP Handshake exitoso con una dirección IP falsificada.

Sin embargo me pregunto: ¿Es posible falsificar la IP una vez que se realizó correctamente un protocolo TCP?

Por ejemplo:

  1. Realizar el saludo

  2. Utilice la sesión (con un IP diferente) y envíe una solicitud

  3. La respuesta se envía a la IP falsificada

Gracias de antemano!

    
pregunta alive-and-well 31.08.2015 - 14:09
fuente

2 respuestas

14
  

¿Es posible falsificar la IP una vez que se realizó correctamente un protocolo de enlace TCP?

No.

Una sesión TCP se define mediante cuatro elementos:

  • Dirección IP de origen
  • puerto IP de origen
  • dirección IP de destino
  • puerto de destino

Esto proviene de RFC 793 :

  

Para proporcionar direcciones únicas dentro de cada TCP, concatenamos una dirección de Internet que identifica al TCP con un identificador de puerto para crear un socket que será único en todas las redes conectadas entre sí.

     

Una conexión está completamente especificada por el par de sockets en los extremos.

Si tuvieras que:

  

2) Utilice la sesión (con un IP diferente) y envíe una solicitud

Cuando cambia alguno de esos cuatro parámetros, como la IP de origen, el nuevo paquete ya no forma parte de esa sesión TCP y no se "entregará" porque no coincide con la definición de la sesión. En su lugar, será un paquete fuera del estado y se eliminará o rechazará.

    
respondido por el gowenfawr 31.08.2015 - 14:13
fuente
3

Como se explica en la respuesta de gowenfawr, no puede cambiar la IP de una sesión TCP. Sin embargo, hay algunas opciones para tener una conexión TCP mientras se falsifica la IP de origen.

Todo lo que hace la suplantación de IP es cambiar la dirección IP de origen del paquete que envías. Esto se hace en la capa de enrutamiento (IP) de la pila de red. El servidor pondrá en peligro este paquete falsificado como lo haría con cualquier paquete, ya sea un paquete del protocolo de enlace o un paquete posterior. Responderá a la dirección IP de origen, la cual, cuando la falsificó, probablemente no sea "suya" y, por lo tanto, no recibirá la respuesta.

Entonces, ¿cómo podría recibir un paquete que no está dirigido a usted? Algunas opciones vienen a la mente:

  • Usted está en una red inalámbrica desprotegida (o protegida contra fallas) y el destinatario también se encuentra en esta red. El destinatario ignorará el paquete, pero si escucha todos los paquetes en la red, verá el paquete y, por lo tanto, podrá responder adecuadamente o utilizar la información respondida.

  • Usted tiene acceso a la máquina del destinatario, en este caso, también puede enviar el paquete desde aquí en lugar de falsificarlo.

  • Usted tiene acceso a algún enrutador a lo largo de la ruta que tomará el paquete, esto le permitirá hacer que el enrutador le envíe un duplicado. Pero no es trivial saber de qué manera viajará un paquete.

Aunque teóricamente es posible cambiar el enrutamiento del paquete para que se le envíe, no es factible en mi opinión.

Entonces, la respuesta corta es que nunca podrá recibir la respuesta de un paquete falsificado de IP sin algunas medidas adicionales.

    
respondido por el Selenog 31.08.2015 - 16:03
fuente

Lea otras preguntas en las etiquetas