falsificación de direcciones IP en internet

5

En una red local, un atacante puede crear un paquete IP personalizado con una dirección IP de origen falsa y enviarlo a un host. Sé que el atacante no recibirá una respuesta, pero todavía hay ataques para los cuales falsificar / falsificar la IP de origen en paquetes IP puede ser útil.

¿Pero cómo se puede hacer esto en Internet (falsificando direcciones IP públicas)? Si quiero, envíe un paquete IP con una dirección IP pública falsa de origen, y estoy sentado detrás de un enrutador que está realizando NAT, asumo que el router cambiará la IP falsa de origen en el paquete IP a la IP pública real del enrutador No encontré ninguna opción para desactivar NAT para direcciones particulares en mi enrutador. ¿Hay enrutadores que tienen tales opciones, o se hace de otra manera? ¿Alguno de ustedes ha hecho algo como esto antes?

Sé que hay una pregunta / respuesta similar sobre lo que le sucede a un paquete con una IP de origen falsa que pasa por NAT, pero en realidad no responde mi pregunta. Explica el posible problema con NAT que mencioné, pero no cómo evitar el problema.

    
pregunta pineappleman 09.10.2015 - 15:29
fuente

2 respuestas

4

Suplantando la IP de origen de la conexión a Internet de su hogar

Eliminar el NAT ...

Si su conexión a Internet funciona como la mayoría (cualquier conexión ADSL o por cable que haya visto hasta ahora), existe una manera fácil de eliminar el NAT al final:

  1. quite el enrutador y reemplácelo con un módem, o simplemente elimine el enrutador si el módem es una caja separada. Algunos (la mayoría) de los enrutadores permiten incluso operar como un módem; En ese caso, solo tiene que cambiar eso en el software y no reemplazar el hardware.
  2. conecta directamente tu computadora al módem
  3. configura la conexión a tu ISP en tu computadora. Lo más probable es que esta sea una conexión PPPoE con algún tipo de nombre de usuario / contraseña que obtuviste de tu ISP.
  4. Su computadora ahora está conectada directamente a Internet, sin un NAT o ningún tipo de servidor de seguridad, excepto de cualquier software en su computadora y cualquiera que sea el ISP que tenga instalado.

... o deje que el enrutador haga la falsificación por usted

También hay enrutadores que podrían hacer la suplantación de IP por usted. Cualquier dispositivo que ejecute iptables y le permita configurar las reglas debería hacerlo. Los dispositivos compatibles con OpenWRT vienen a la mente aquí.

Algunos problemas con los que es más o menos probable que se encuentre

Incluso si no tiene ningún NAT al final de la conexión, es posible que el ISP aún tenga un NAT por el que deba pasar. Además, el ISP puede filtrar los paquetes provenientes de su computadora que no tienen la IP de origen que le asignaron.

¿He hecho algo como esto antes?

Sí, he hecho algo como esto en un servidor multitarjeta (por lo que sustituí una de mis IP por la otra) y no funcionó debido al filtrado descrito anteriormente.

    
respondido por el Daniel 08.12.2015 - 21:01
fuente
2

La solución anterior nunca funcionará por múltiples razones y parte del usuario lo describió correctamente.

Si puede hacer que el ISP anuncie una subred que pertenece al espacio IP de la víctima (proveedor independiente), entonces podrá hacerlo. No es tan fácil convencer a los ISP para que lo hagan, lo sé ... pero puede convencerlos de que establezcan una sesión de BGP con usted y su propio AS cuando anuncien lo que quieran.

Es posible que algunos filtros todavía estén en su lugar de salida, pero de esta manera, se saltan un par de niveles de seguridad de ISP. Además, recuerde que hay organizaciones que le permiten VPN en todas partes y es posible que también desee probar BGP con un ISP remoto a través de una VPN segura.

    
respondido por el AllVPN 26.07.2018 - 15:46
fuente

Lea otras preguntas en las etiquetas