¿Cómo funciona la suplantación de direcciones IP de una dirección incorrecta?

5

Al leer sobre iptables , vi este artículo de NixCraft recomienda que un servidor bloquee las siguientes direcciones incorrectas:

  • 0.0.0.0/8
  • 10.0.0.0/8
  • 127.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3

No dice si es aplicable para UDP , TCP o todo el tráfico. Mi servidor web tiene una aplicación que se ejecuta en TCP 127.0.0.1. Me preocupa más que las direcciones IP de origen falsificadas como 0.0.0.0 o 127.0.0.1 lleguen a mi servidor en TCP.

En serio, ¿es eso posible?

    
pregunta Question Overflow 17.05.2014 - 03:55
fuente

2 respuestas

8

Es posible falsificar una dirección IP, aunque no es muy fácil para la persona promedio. La razón es que la mayoría de los ISP eliminarán los paquetes falsificados cuando salgan de su red. Esto es aún más aplicable a bogons , ya que generalmente se filtran a nivel de ISP y cortafuegos de frontera.

Si un paquete falsificado llega a su servidor, debe comprender que no hay una ruta de retorno válida para ese paquete. Un atacante falsificando una dirección IP no podría ver ningún dato del servidor en sí mismo, pero aún podría usarse en algo como un ataque de amplificación o desencadenar un evento dentro de los servicios del servidor.

Cuando se habla de direcciones privadas reservadas, la probabilidad de que lleguen a su red es muy reducida. Solo porque algo es improbable no significa que sea imposible.

La idea es que no debe aceptar estos paquetes a través de su interfaz pública, porque no se puede confiar en lo que se encuentra en el otro lado. Solo porque su ISP debería y probablemente filtre estos no significa que usted no deba hacer lo mismo.

    
respondido por el David Houde 17.05.2014 - 06:48
fuente
7

Debe bloquear esas direcciones para todo el tráfico porque no hay una razón válida para que un paquete vinculado desde o hacia una de esas direcciones esté en Internet en general. Cualquier paquete con una de esas direcciones representa un ataque, una mala configuración o ambos.

0.0.0.0/8: un conjunto de direcciones "comodín" que representan la red actual.

127.0.0.0/8: Las direcciones de bucle invertido. Los paquetes con estas direcciones nunca deben abandonar la computadora en la que se crearon.

10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16: Direcciones de uso privado. Los paquetes con estas direcciones nunca deben abandonar la LAN en la que se encuentran. Estos representan la mayor amenaza, ya que falsificar uno de estos como la dirección de destino puede permitir al atacante atacar equipos que no son direccionables directamente desde el resto de Internet y, por lo tanto, es posible que no tengan el mismo nivel de seguridad que un servidor; forjar uno como la dirección de origen puede engañar a la computadora de destino para que ataque a una de esas computadoras no direccionables.

224.0.0.0/3: los rangos de direcciones reservadas y de multidifusión. No estoy seguro de por qué el artículo dice bloquearlos.

En cuanto a cómo se pueden crear estos paquetes, cualquier programa con acceso de bajo nivel al hardware de la computadora puede crear paquetes completamente personalizados, incluso hacer cosas como falsificar la dirección "desde" en el paquete.

    
respondido por el Mark 17.05.2014 - 06:49
fuente

Lea otras preguntas en las etiquetas