web-dev-qa-db-fra.com

Comment fonctionne l'usurpation d'adresse IP sur Internet? Qui peut le faire?

Quelqu'un m'a récemment dit que le NSA pouvait usurper l'identité de quasiment n'importe qui en utilisant l'usurpation d'adresse IP sur Internet. Mais comment cela fonctionnerait-il et dans quelle mesure est-ce vrai de toute façon?

Est-ce que n'importe quel FAI dans le monde peut simplement usurper l'adresse IP qu'il veut ou existe-t-il une sorte de protection contre cela?

ipip-spoofingnsa
38
Forivin

L'usurpation d'adresse IP n'est pas [~ # ~] et non [~ # ~] le détournement IP, ce qui crée de la confusion pour quiconque lit ceci. L'usurpation d'adresse IP à son explication minimale/nue est également appelée usurpation d'identité. Ayons un ASCII regardez ce qu'il fait et comment cela se passe:

You (1.2.3.4) --> connect to your bank --> Bank (2.2.2.2)

En usurpation d'identité, je peux prétendre être qui je veux, si je suis sur votre réseau:

Me (1.2.3.4) to you --> I am 2.2.2.2 --> You
Me (1.2.3.4) to you --> I am Google.com --> You

C'est un point discutable car si vous répondez, je ne verrai JAMAIS la réponse, je ne suis ni 2.2.2.2 ni Google. Ceci est appelé usurpation aveugle . Pour usurpation d'identité , je veux faire semblant d'être votre banque sans que vous le sachiez, parce que je veux voler votre argent. J'ai donc besoin de voir vos réponses et la réponse de votre banque. Maintenant, je dois effectuer plusieurs imitations. Je dois prétendre à vous que je suis votre banque et je dois prétendre à votre banque que je suis vous:

Me (1.2.3.5) --> to your ROUTING handler (be it a router or your routing table)
Me (1.2.3.5) --> I am 2.2.2.2 --> You
Me (1.2.3.5) --> I am 1.2.3.4 --> Your bank

Pour que cela se produise, je [~ # ~] dois [~ # ~] être dans votre infrastructure. Considérez cela comme un serveur proxy. En utilisant un serveur proxy, la connexion est la même:

Me (1.2.3.5) --> proxy server (1.2.3.10) --> Bank (2.2.2.2)
Bank responds --> proxy server --> Me

Le trafic doit circuler vers et depuis. Dans un scénario de détournement IP , les données sont relayées, donc il n'y a pas d'usurpation (je peux proxy pour tout voir) Le détournement BGP permet de regarder le fil. Quelqu'un sur le réseau qui effectue le détournement peut puis effectuer l'usurpation d'identité.

Maintenant, dans le cas d'un ISP/NSP/NAP, un gouvernement peut adopter cette approche:

You (1.2.3.4) --> ISP (1.2.3.1 default route) --> Bank (2.2.2.2) # Normal connection

Dans ce qui précède, ce serait la session non falsifiée qui se produirait. Dans un réseau tapé NSA, c'est ce qui se passerait:

You (1.2.3.4) --> ISP (1.2.3.1) --> internal ISP proxy <-- NSA (1.2.4.1) --> Bank (2.2.2.2)

De votre point de vue, vous vous connectez à votre FAI, puis à votre banque. Vous ne verrez jamais (et ne pourrez jamais) voir la procuration se produire. C'est le genre d'usurpation/masquage/usurpation d'identité fait avec des systèmes créés par des entreprises comme Narus qui utilisaient un robinet chez AT&T pour exploiter les connexions principales.

Il y a peu à faire sur une échelle d'écoute comme celle-ci, car les agences gouvernementales ont la capacité d'utiliser des certificats SSL et d'autres moyens pour vous empêcher de savoir ce qui se passe. Le tunneling VPN ne l'empêchera pas, car vous êtes à la merci de votre fournisseur, et un mandat est un mandat.

Il n'y a aucun besoin de "BGP Hijacking", le filtrage BCP pour même entrer dans cette discussion car le filtrage BCP ne contrera pas l'exemple de proxy ci-dessus. Le filtrage BCP couvre l'usurpation d'identité, pas le proxy, ni le détournement. Si un attaquant parvient à manipuler la table de routage sur, disons, votre système d'exploitation, BCP est un point discutable.

48
munkeyoto

L'usurpation d'adresse IP signifie la création de paquets IP avec une adresse source qui n'est pas la vôtre et l'envoi de ceux-ci à une certaine destination. Pour ce faire, les routeurs sur le chemin doivent autoriser le trafic provenant d'une source incorrecte. BCP38 décrit un certain nombre de techniques (filtrage, uRPF) que les FAI peuvent utiliser pour empêcher le trafic IP usurpé provenant de leur réseau.

Étant donné que l'adresse source du paquet est usurpée, le trafic de retour n'atteindra pas l'hôte usurpant les paquets, mais atteindra plutôt l'hôte qui a l'adresse IP usurpée. Cela provoque la rupture d'un protocole comme TCP, car cela nécessite une prise de contact à trois voies. Je ne pense pas que l'usurpation d'adresse IP figure en haut de la liste des outils de la NSA, car son utilisation pour l'observation est très limitée.

L'usurpation d'adresse IP est principalement utilisée dans les attaques DDoS: si vous pouvez trouver un moyen d'envoyer une petite demande UDP (par exemple une requête DNS) avec l'adresse IP d'une cible DDoS comme adresse source usurpée à un hôte qui envoie une réponse importante ( par exemple une grande réponse DNS signée DNSSEC), vous pouvez facilement générer une grande quantité de trafic vers la cible.

16
Teun Vink

tldr: Oui, Non (les deux: jusqu'à IPSec)

Je comprends votre question comme

Quelqu'un (un FAI, par exemple) peut-il usurper l'identité d'un hôte Internet au niveau IP? Si oui, comment et comment cela peut-il être atténué?

Le bon terme pour cela n'est pas l'usurpation d'adresse IP qui, comme Teun l'a indiqué dans sa réponse, usurpe l'adresse d'origine des paquets envoyés à un hôte; ils sont plus inutiles avec les connexions TCP mais peuvent être utilisés avec UDP et sont souvent utilisés pour les attaques DDoS.

Le bon terme pour cela est Détournement d'avion et le reste de la réponse présumera que vous vouliez dire cela.

La réponse

Cela dépend de la cible. Il existe différentes méthodes pour emprunter l'identité d'un autre hôte au niveau TCP/IP. Celles-ci nécessitent cependant un accès à l'infrastructure.

  • Si un hôte spécifique doit en être victime, son FAI peut à la place réacheminer le trafic pour les adresses IP "usurpées" vers une machine de son choix, sans affecter d'autres parties d'Internet.

    Ainsi, cette attaque est difficilement traçable en dehors du réseau des FAI. Si les FAI coopèrent avec trois agences de lettres avec un mandat, ce serait le moyen le plus simple.

  • Si une adresse IP spécifique doit être usurpée pour un grand nombre de personnes, le Border Gateway Protocol peut être utilisé pour obliger d'autres routeurs sur Internet à rediriger leur trafic vers cette adresse IP à condition que vous disposiez de ressources suffisantes.

    Je pense que le grand pare-feu de la Chine (a fait/fait?) Cela pour certaines plates-formes Internet de premier plan pour établir une MiTM à grande échelle, mais je ne trouve aucun lien vers cela pour le moment.

Comme la technologie TCP/IP (et le BGP) dépendent principalement de la confiance (et sont assez anciennes), il n'y a rien là-dedans pour empêcher cela. Cependant, IPSec vise à atténuer ces problèmes, mais n'est pas largement pris en charge pour le moment.

De plus, TLS peut être déployé à un niveau supérieur pour atténuer ce problème dans la branche TCP du modèle ISO/OSI) au-dessus de la couche IP.

4
Tobi Nary

Comme d'autres l'ont dit, l'usurpation d'adresse IP implique de truquer l'adresse source des paquets IP que vous envoyez. J'ai remarqué que le consensus général est qu'il n'est pas possible d'obtenir la réponse à moins que vous ne soyez sur le même réseau que l'adresse IP que vous usurpez. J'ai pensé qu'il valait la peine de mentionner que dans le cas du piratage des connexions par satellite, ce même réseau peut être une grande région variable. http://www.blackhat.com/presentations/bh-dc-10/Nve_Leonardo/BlackHat-DC-2010-Nve-Playing-with-SAT-1.2-wp.pdf aussi https://www.forbes.com/2010/02/02/hackers-cybercrime-cryptography-technology-security-satellite.html#4ae6a207731f et https://www.csoonline.com/ article/2982486/protection-des-données/turla-cyberespionage-group-exploits-satellite-internet-links-for-anonymity.html Profitez-en.

0
N00b