Cómo explotar la "suplantación de direcciones IPA través de un análisis en profundidad de la tecnología de firewall, es posible explotar las vulnerabilidades en la configuración e implementación del firewall para atacar los firewalls. Normalmente, los ataques efectivos se llevan a cabo desde el subred relevante, debido a que el firewall confía en estas URL, vale la pena probarlas, aunque el éxito depende de otros factores como la probabilidad. El método más común para violar los sistemas de firewall es la suplantación de direcciones IP, que es la base de muchos otros ataques. esto se debe a una falla en la propia IP; el protocolo IP envía paquetes IP según la entrada de destino en el encabezado IP. Si la dirección de destino está dentro de la red local, el paquete IP se envía directamente a la dirección de destino. Si la dirección de destino no está dentro de la red local, el paquete IP se envía directamente a la puerta de enlace, que luego decide dónde enviarlo. Cuando IP enruta los paquetes IP, no verifica la dirección IP de origen proporcionada en. el encabezado IP. La dirección IP de origen es la dirección IP de la máquina que envía el paquete de datos. Aunque este método de comunicación de datos de IP es muy simple y eficiente, también es un riesgo de seguridad para IP. piratas informáticos o IP. La información del paquete se pierde una vez que el sistema se da cuenta de que la dirección de envío está dentro de su propio rango, tratará el paquete como un paquete interno y lo dejará pasar. Normalmente, la conexión TCP entre el host A y el host B se perderá. hay un firewall en el medio) lo establece el host A enviando una solicitud al host B. Durante este período, A y B solo confirman basándose en el número de serie inicial ISN generado por el host A y verificado por el host B. Hay tres específicos Pasos: el host A genera un ISN, lo envía al host B y solicita establecer una conexión; después de que B recibe el ISN con el indicador SYN de A, envía su propio ISN al host B; envía su propio ISN enviado al host B. Luego, el host A envía el ISN al host B. Después de recibir el ISN con el indicador SYN de A, el host B devuelve su propio ISN y el mensaje de respuesta ACK a A; luego, A envía el; ISN y El mensaje de respuesta ACK se devuelve de B a B. En este momento, en circunstancias normales, se ha establecido la conexión TCP entre los hosts A y B B ---- SYN ----> AB <---- SYN+ ACK ---- AB ---- ACK ----> A Supongamos que C intenta atacar a A. Dado que A y B confían entre sí, si C ya sabe que B confía, entonces debe encontrar una manera de hacerlo. paralizar B. La funcionalidad de la red para evitar ataques de otras cosas que interfieran con ella. Aquí se suele utilizar la inundación SYN, donde el atacante envía muchos paquetes TCP-SYN al host atacado. La dirección de origen de estos paquetes TCP-SYN no es la dirección IP del host del atacante, sino la dirección IP completada por el propio atacante. Cuando el host atacado recibe el paquete TCP-SYN enviado por el atacante, asignará una cierta cantidad de recursos para la conexión TCP y enviará un paquete de respuesta TCP-(SYN+ACK) al host de destino, cambiando la dirección de origen (es decir, La dirección IP falsificada por el propio atacante se utiliza como dirección de destino para recibir paquetes de datos. Dado que la dirección IP falsificada del atacante debe ser una dirección inexistente cuidadosamente seleccionada, el host atacado nunca podrá recibir el paquete de respuesta del paquete TCP-(SYN+ACK) que envía, por lo que el TCP del host atacado La máquina de estado estar en estado de espera. Si la máquina de estado TCP del host atacado tiene control de tiempo de espera, los recursos asignados para la conexión no se recuperarán antes del tiempo de espera.
Por lo tanto, si un atacante envía suficientes paquetes TCP-SYN al host atacado y lo suficientemente rápido, el módulo TCP del host atacado definitivamente estará en un estado de denegación de servicio debido a la incapacidad de asignar recursos del sistema para nuevas conexiones TCP. Incluso si el administrador de la red donde se encuentra el host atacado monitorea los paquetes del atacante, no puede determinar quién es el atacante basándose en la información de la dirección de origen en el encabezado IP. Primero, conéctese al puerto 25, ya que SMTP no tiene control de seguridad, similar al paso anterior, pero esta vez registre el ISN de A y el RTT (tiempo de ida y vuelta) aproximado de C a A. Repita este paso varias veces para encontrar el ISN de A y el RTT (tiempo de ida y vuelta) aproximado de C a A. Una vez que C conoce el valor base ISN de A y el patrón creciente, puede calcular el tiempo RTT/2 requerido para llegar de C a A e inmediatamente entrar al ataque. C envía un segmento con el indicador SYN a A, solicitando una conexión, pero la IP de origen se ha cambiado a B. A devuelve un segmento de datos SYN+ACK a B. B no puede responder. La capa TCP de B descartará directamente el segmento de datos devuelto por A. En este punto, C necesita hacer una pausa breve para darle a A tiempo suficiente para enviar SYN+ACK, porque C no puede ver el paquete de datos. Luego, C finge ser B nuevamente y envía ACK a A. El segmento de datos enviado esta vez es el ISN+1 de A predicho por Z. El problema es que aunque se establece la conexión, A todavía envía datos a B en lugar de C, y C todavía no puede ver el segmento de datos que A envió a B. Si la predicción es inexacta, A enviará un segmento de datos con el indicador RST, finalizará la conexión de manera anormal y C deberá comenzar de nuevo. Como el ISN previsto se revisa constantemente, el atacante finalmente establece una conexión con el host objetivo. De esta manera, el atacante puede iniciar sesión en el host objetivo como usuario legítimo sin necesidad de confirmación adicional. Si la prueba y el error pueden lograr que el host de destino reciba un inicio de sesión ROOT en la red, entonces podrá tomar el control total de toda la red. C(B) ---- SYN ----> AB <---- SYN+ACK ---- AC(B) ---- ACK ----> AC(B) ---- PSH ----> El ataque de suplantación de AIP explota el hecho de que la parte más difícil del ataque es predecir el ISN de A. c Se debe predecir con precisión qué mensajes es probable que A envíe a B y qué mensajes A espera recibir como respuesta de B. También es importante comprender que este ataque no se puede realizar de forma interactiva; se debe escribir un programa para realizarlo. Por supuesto, durante la preparación, el protocolo se puede analizar utilizando herramientas como netxray. Si bien la suplantación de IP es bastante difícil, debemos tener en cuenta que este tipo de ataque es muy común y es donde suelen comenzar las intrusiones. En la actualidad, no es posible eliminar fundamentalmente los riesgos de seguridad causados por los defectos de la propia propiedad intelectual. Sólo podemos tomar algunas medidas correctivas para minimizar el daño causado. La forma más ideal de defenderse contra este ataque es que cada puerta de enlace o enrutador conectado a la LAN inspeccione los paquetes IP provenientes del exterior antes de decidir si les permite ingresar a la LAN. Si la dirección IP de origen del paquete IP es una dirección IP dentro de la LAN a la que está intentando ingresar, la puerta de enlace o enrutador rechazará el paquete IP y no se le permitirá ingresar a la LAN. Este método puede resolver este problema muy bien, pero considerando que algunas tarjetas Ethernet reciben paquetes de datos salientes por sí mismas y, en aplicaciones prácticas, las LAN a menudo necesitan tener una relación de confianza mutua para compartir recursos, por lo que esta solución no tiene un buen valor práctico. . Otro método de defensa ideal es comprobar la dirección IP de origen del paquete IP cuando sale de la LAN. Es decir, cada puerta de enlace o enrutador conectado a la LAN verifica la dirección IP de origen del paquete IP antes de decidir si permite que el paquete IP dentro de la LAN se envíe fuera de la LAN. Si la dirección IP de origen de un paquete IP no es una dirección IP dentro de la LAN, la puerta de enlace o el enrutador rechazarán el paquete IP y no le permitirán salir de la LAN. De esta manera, el atacante necesitaría usar al menos una dirección IP dentro de su LAN para atravesar la puerta de enlace o enrutador conectado a esa LAN.