ที่อยู่ IP นั้น“ ไม่สำคัญต่อการปลอมแปลง” หรือไม่?


65

ฉันอ่านบันทึกย่อบางส่วนเกี่ยวกับบริการ DNS สาธารณะใหม่ของ Google :

ฉันสังเกตเห็นภายใต้หัวข้อความปลอดภัยในย่อหน้านี้:

จนกว่าจะมีการแก้ปัญหาทั้งระบบแบบมาตรฐานสำหรับช่องโหว่ DNS ได้รับการดำเนินการในระดับสากลเช่นโปรโตคอล DNSSEC2 ตัวแก้ไข DNS แบบเปิดจำเป็นต้องใช้มาตรการบางอย่างอย่างอิสระในการบรรเทาภัยคุกคามที่รู้จัก มีการนำเสนอเทคนิคมากมาย ดูที่IETF RFC 4542: มาตรการในการทำให้ DNS ยืดหยุ่นมากขึ้นต่อคำตอบที่ปลอมแปลงสำหรับภาพรวมส่วนใหญ่ ใน Google Public DNS เราได้ดำเนินการแล้วและเราขอแนะนำแนวทางต่อไปนี้:

  • การจัดสรรทรัพยากรของเครื่องจักรมากเกินไปเพื่อป้องกันการโจมตี DoS โดยตรงบนตัวแก้ไขปัญหาเอง เนื่องจากที่อยู่ IP นั้นสำคัญสำหรับผู้โจมตีที่จะปลอมแปลงจึงเป็นไปไม่ได้ที่จะปิดกั้นการสอบถามตามที่อยู่ IP หรือเครือข่ายย่อย วิธีเดียวที่มีประสิทธิภาพในการจัดการการโจมตีดังกล่าวคือเพียงแค่รับภาระ

นั่นคือการตระหนักถึงความตกต่ำ; แม้ใน Stack Overflow / Server Fault / Super User เรามักใช้ที่อยู่ IP เป็นพื้นฐานสำหรับการห้ามและบล็อกทุกชนิด

หากคิดว่าผู้โจมตี "มีความสามารถ" สามารถใช้ที่อยู่ IP ใดก็ได้ที่พวกเขาต้องการและสังเคราะห์ที่อยู่ IP ที่ไม่ซ้ำกันตามที่พวกเขาต้องการและน่ากลัวมาก!

ดังนั้นคำถามของฉัน:

  • มันเป็นจริงที่ง่ายสำหรับการโจมตีในการปลอมที่อยู่ IP ในป่า?
  • ถ้าเป็นเช่นนั้นการบรรเทาปัญหาอะไรบ้างที่เป็นไปได้?

การปลอมแปลง IP ไม่ควรเป็นปัญหาสำหรับการห้ามใช้ IP เนื่องจากเป้าหมายสูงสุดของเราคือการเข้าถึงซึ่งต้องการการตอบกลับที่ถูกกฎหมาย แต่ความเสี่ยงที่มากขึ้นก็คือ: IP ของคนหลายคน (โรงเรียน, สถานที่ทำงาน, อินเทอร์เน็ตคาเฟ่, ... ) และ IP นั้นสามารถเปลี่ยนเป็นอะไรก็ได้หลังจากโมเด็มทำการรีเซ็ตโมเด็ม DSL ที่ไม่คงที่
Halil Özgür

การเข้าถึงไม่ได้เป็นเป้าหมายหลักสำหรับการโจมตีหลายครั้งโดยใช้ที่อยู่ปลอมแปลง ฉันสงสัยว่าการโจมตีด้วยแอมพลิฟายเออร์แบบ DNS นั้นบ่อยครั้งกว่า DNS น่ารัก (ด้วย DNSSEC ยิ่งแย่ลง) - คุณสามารถส่งขนาดเล็ก <100 ไบต์แพ็คเก็ตที่มีที่อยู่ปลอมแปลงจะทำให้ที่อยู่ปลอมได้รับการขยาย 7x ถึง 40x เป็นการตอบกลับ
Michael Graff

คำตอบ:


50

ตามที่ระบุโดยคนอื่น ๆ ส่วนหัวของ IP มีความสำคัญที่จะปลอมแปลงตราบใดที่ไม่สนใจที่จะได้รับคำตอบ นี่คือสาเหตุที่พบเห็นได้ใน UDP ส่วนใหญ่เนื่องจาก TCP ต้องการการจับมือ 3 ทาง ข้อยกเว้นหนึ่งที่น่าสังเกตคือSYN Floodซึ่งใช้ TCP และพยายามผูกทรัพยากรกับโฮสต์ที่รับ อีกครั้งเนื่องจากการตอบกลับถูกทิ้งที่อยู่แหล่งข้อมูลไม่สำคัญ

ผลข้างเคียงที่น่ารังเกียจโดยเฉพาะอย่างยิ่งของความสามารถของผู้โจมตีต่อการปลอมแปลงแหล่งที่อยู่คือการโจมตีแบบกระจายกลับ มีคำอธิบายที่ยอดเยี่ยมที่นี่แต่สั้น ๆ มันเป็นสิ่งที่ตรงกันข้ามกับการโจมตี DDoS แบบดั้งเดิม:

  1. รับการควบคุม botnet
  2. กำหนดค่าโหนดทั้งหมดของคุณเพื่อใช้ที่อยู่ IP แหล่งเดียวกันสำหรับแพ็คเก็ตที่เป็นอันตราย ที่อยู่ IP นี้จะตกเป็นเหยื่อของคุณในที่สุด
  3. ส่งแพ็คเก็ตจากโหนดควบคุมทั้งหมดของคุณไปยังที่อยู่ต่างๆทั่วอินเทอร์เน็ตกำหนดเป้าหมายพอร์ตที่โดยทั่วไปจะไม่เปิดหรือเชื่อมต่อกับพอร์ตที่ถูกต้อง (TCP / 80) ที่อ้างว่าเป็นส่วนหนึ่งของธุรกรรมที่มีอยู่แล้ว

ในทั้งสองกรณีที่กล่าวถึงใน (3), หลายครอบครัวจะตอบสนองกับ ICMP ไม่สามารถเข้าถึงหรือ TCP รีเซ็ตเป้าหมายที่แหล่งที่อยู่ของแพ็คเก็ตที่เป็นอันตราย ขณะนี้ผู้โจมตีมีเครื่องที่ไม่ได้รับอนุญาตจำนวนหลายพันเครื่องบนเครือข่ายที่ทำการโจมตี DDoS ต่อเหยื่อที่ตนเลือกผ่านการใช้ที่อยู่ IP ต้นทางของปลอม

ในแง่ของการบรรเทาความเสี่ยงนี้เป็นสิ่งที่ผู้ให้บริการอินเทอร์เน็ต (และโดยเฉพาะผู้ให้บริการอินเทอร์เน็ตที่ให้การเข้าถึงลูกค้า มีสองวิธีหลักในการทำเช่นนี้:

  1. การกรอง Ingress - ทำให้มั่นใจได้ว่าแพ็คเก็ตที่เข้ามาในเครือข่ายของคุณนั้นมาจากช่วงที่อยู่ที่อยู่ด้านไกลของอินเทอร์เฟซที่เข้ามา ผู้ค้าเราเตอร์หลายรายใช้คุณสมบัติเช่นunicast reverse path forwardingซึ่งใช้เราติ้งและตารางการส่งต่อของเราเตอร์เพื่อตรวจสอบว่า hop ถัดไปของที่อยู่ต้นทางของแพ็กเก็ตขาเข้าเป็นอินเตอร์เฟสขาเข้า วิธีนี้ทำได้ดีที่สุดในเลเยอร์ 3 กระโดดครั้งแรกในเครือข่าย (เช่นเกตเวย์เริ่มต้นของคุณ)

  2. การกรองออก - มั่นใจว่าแพ็กเก็ตออกจากเครือข่ายของคุณเฉพาะแหล่งที่มาจากช่วงที่อยู่ที่คุณเป็นเจ้าของ นี่คือส่วนประกอบตามธรรมชาติในการกรองทางเข้าและเป็นส่วนหนึ่งของการเป็น 'เพื่อนบ้านที่ดี'; ตรวจสอบให้แน่ใจว่าแม้ว่าเครือข่ายของคุณจะถูกโจมตีจากทราฟฟิกที่เป็นอันตราย แต่ทราฟฟิกนั้นจะไม่ถูกส่งต่อไปยังเครือข่ายที่คุณตรวจพบ

เทคนิคทั้งสองนี้มีประสิทธิภาพสูงสุดและใช้งานได้ง่ายเมื่อทำเช่นนั้นในเครือข่าย 'edge' หรือ 'access' ซึ่งไคลเอนต์ติดต่อกับผู้ให้บริการ การใช้งานการกรองทางเข้า / ออกด้านบนเลเยอร์การเข้าถึงนั้นยากขึ้นเนื่องจากความซับซ้อนของหลายเส้นทางและการกำหนดเส้นทางแบบอสมมาตร

ฉันได้เห็นเทคนิคเหล่านี้ (โดยเฉพาะการกรองทางเข้า) ที่ใช้เพื่อผลดีภายในเครือข่ายองค์กร บางทีคนที่มีประสบการณ์ของผู้ให้บริการมากขึ้นสามารถให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับความท้าทายในการปรับใช้การกรอง / การกรองข้อมูลออกทางอินเทอร์เน็ตในวงกว้าง ฉันนึกภาพการสนับสนุนฮาร์ดแวร์ / เฟิร์มแวร์เป็นความท้าทายที่ยิ่งใหญ่เช่นเดียวกับการไม่สามารถบังคับให้ผู้ให้บริการต้นน้ำในประเทศอื่น ๆ ใช้นโยบายที่คล้ายกัน ...


ฟังดูน่ารังเกียจ ดังนั้นมีอะไรที่ผู้ดูแลระบบสามารถทำได้ถ้าเขาพบว่าเซิร์ฟเวอร์ของเขาถูกกำหนดเป้าหมายเช่นนี้? เป็นไปได้ไหมที่จะบล็อกแพ็คเก็ต ICMP และข้อความรีเซ็ต TCP จาก IP ทั้งหมดชั่วคราว? คุณจะสามารถใช้งานแบบกึ่งปกติได้ไหม?
UpTheCreek

45

เป็นเรื่องง่ายสำหรับผู้โจมตีในการปลอมแปลงที่อยู่ IP ในเซิร์ฟเวอร์หรือไม่

แน่นอนถ้าฉันไม่สนใจว่าจะได้รับคำตอบจริง ๆ ฉันสามารถส่งแพ็กเก็ตได้ง่าย ๆ โดยใช้ที่อยู่แหล่งที่ฉันชอบ เนื่องจากผู้ให้บริการอินเทอร์เน็ตหลายรายไม่มีกฎการส่งออกที่ดีจริง ๆ สิ่งที่ฉันสร้างขึ้นโดยทั่วไปจะถูกส่งมอบ

หากผู้โจมตีต้องการการสื่อสารสองทางจริง ๆ แล้วจะกลายเป็นเรื่องยากมาก หากพวกเขาต้องการการสื่อสารสองทางมันมักจะง่ายกว่าที่จะใช้พร็อกซีบางประเภท ซึ่งง่ายต่อการติดตั้งถ้าคุณรู้ว่าคุณกำลังทำอะไรอยู่

การแบนผู้คนด้วยที่อยู่ IP นั้นมีประสิทธิภาพปานกลางใน SF / SO / SU เนื่องจากไซต์นั้นใช้ http / https ซึ่งต้องการการสื่อสารสองทาง


16
http (s) เป็นกุญแจสำคัญที่นี่ DNS ใช้ UDP ดังนั้นการสื่อสารทั้งหมดจึงทำผ่านแพ็กเก็ตเดียวโดยไม่มีการตอบรับในโปรโตคอล
โนอาห์

16
เดาว่าเป็นเหมือนอีเมล คุณสามารถส่งที่อยู่ใดก็ได้ที่คุณต้องการยกเว้นว่าคุณต้องการรับการตอบกลับ
Jorge Bernal

@Jorge: แน่นอน การเปรียบเทียบอีเมล / ไปรษณีย์ทางไปรษณีย์เป็นสิ่งที่ยอดเยี่ยมสำหรับการอธิบายสิ่งนี้กับผู้ใช้ปลายทาง
Evan Anderson

ใน DNS อาจใช้ TCP ได้ แต่นั่นทำให้ผู้คนกลัว อย่างไรก็ตามไม่มี ACK ในตัวเพราะคำตอบคือ ACK
Michael Graff

6
@noah - จริง ๆ แล้วTCPเป็นกุญแจสำคัญไม่ใช่ HTTP TCP ไม่สามารถปลอมแปลงได้ แต่หนักกว่า UDP 100 เท่า
Alnitak

22

หลักฐานเล็ก ๆ น้อย ๆ ของแนวคิดสำหรับคำตอบของ Zordeche (กับ Ubuntu):

$ sudo apt-get install hping3
$ sudo hping3 -1 --spoof 11.10.10.20 www.google.com
HPING www.google.com (eth0 64.233.169.105): icmp mode set, 28 headers + 0 data bytes

จากนั้นในคอนโซลอื่น:

$ sudo tcpdump -i eth0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:30:19.439737 IP 11.10.10.20 > yo-in-f105.1e100.net: ICMP echo request, id 31297, seq 0, length 8

ใช่แล้วไม่สำคัญ แต่คุณจะไม่ได้รับคำตอบตามที่ได้กล่าวไว้ข้างต้นเว้นแต่ว่าคุณจะสามารถเข้าถึง 11.10.10.20 หรือดมกลิ่นบางแห่งระหว่าง www.google.com และ 11.10.10.20 (และจะต้องอยู่ตรงหน้า ปลายทั้งสองเนื่องจากคุณไม่สามารถทำนายเส้นทางของแพ็กเก็ตได้) นอกจากนี้เกตเวย์ของผู้ปลอมแปลง (ISP) อาจไม่อนุญาตให้ส่งแพ็กเก็ตนั้นออกไปนอกประตูหากพวกเขามีการตรวจสอบ ip บางอย่างเกิดขึ้นและเห็นว่าแหล่งที่มามีกลิ่นไม่ดี


1
แต่ผู้ให้บริการอินเทอร์เน็ตมักจะไม่ใส่ใจกับการตรวจสอบแพ็คเก็ตใช่มั้ย
Pacerier

13

ที่อยู่ IP เป็นเรื่องง่ายที่จะเคลื่อนหนึ่งทิศทางUDPจราจร สำหรับแพ็คเก็ต TCP คุณสามารถปลอมแปลงเพื่อรับการเชื่อมต่อ TCP ครึ่งเปิดด้วยแพ็คเก็ต SYN นี่เป็นพื้นฐานของการโจมตีแบบดอสเช่นกัน แต่คุณไม่สามารถปลอมการเชื่อมต่อ HTTP ด้วยที่อยู่ปลอม (ตัวอย่างเช่นหากคุณกรองเซสชันเพื่อใช้ที่อยู่ IP เดียวกัน) ในขณะที่ใช่คุณสามารถปลอมแปลงที่อยู่ IP ในแพ็คเก็ตได้ แต่มีประโยชน์สำหรับการปฏิเสธการโจมตีบริการบางประเภทเท่านั้น


คุณหมายความว่าเป็นการยากที่จะปลอมแปลงการเชื่อมต่อ HTTP ด้วยที่อยู่ปลอมหรือว่าเป็นไปไม่ได้ที่จะทำเช่นนั้น?
Pacerier

บนอินเทอร์เน็ตเปิดมันเป็นไปไม่ได้ มีเทคนิคบางอย่างหากคุณใช้ LAN เดียวกันที่สามารถหลอกให้คอมพิวเตอร์เครื่องอื่นส่งการรับส่งข้อมูลให้คุณ ( web.eecs.umich.edu/~zhiyunq/pub/ ...... ) คุณสามารถคิดแบบนี้ UDP เปรียบเสมือนการส่งโปสการ์ด คุณสามารถเขียนชื่อใด ๆ ในที่อยู่ผู้ส่งที่คุณต้องการ TCP เป็นเหมือนการสนทนาที่หากคุณไม่ใส่ที่อยู่ผู้ส่งที่ถูกต้องคุณจะไม่สามารถสนทนาต่อไปได้ คำตอบอื่น ๆ ที่นี่อธิบายได้ดีขึ้นมาก
FryGuy

10

บทความ GOOG พูดคุยเกี่ยวกับ DNS อย่างชัดเจน DNS ใช้แพ็คเก็ต UDP และ TCP UDP นั้นสามารถปลอมแปลงได้ แต่ไม่ใช่ TCP TCP ต้องมีการจับมือกัน 3 ทาง หากที่อยู่ IP สำหรับแพ็คเก็ต TCP ถูกปลอมแปลงคอมพิวเตอร์ปลอมจะไม่ได้รับการตอบกลับและการเชื่อมต่อจะล้มเหลว UDP ดังที่กล่าวไว้ในคำตอบอื่น ๆ คือ 'ไฟไหม้และลืม' และไม่ต้องการการตอบสนองการสื่อสาร การโจมตี DoS นั้นมาในรูปแบบของแพ็คเก็ต UDP เพียงอย่างเดียวด้วยเหตุนี้

ในบริบทของ Stack Overflow และไซต์สำหรับครอบครัวปัญหาที่เกิดจาก Takaun Daikon นั้นถูกต้องมาก มีหลายวิธีในการรับที่อยู่ IP ใหม่จาก ISP ของตน การเปลี่ยนที่อยู่ MAC นั้นเป็นวิธีที่ง่ายที่สุดและใช้งานได้กับผู้ให้บริการอินเทอร์เน็ตหลายราย นอกจากนี้ผู้คนจำนวนมากที่มีความงี่เง่าอาจใช้พร็อกซีสาธารณะหรือ TOR การบล็อก IP อย่างชัดเจนสำหรับแพ็คเก็ตเหล่านั้นจะปิดกั้นพร็อกซีหรือโหนดการเลิก TOR

ดังนั้นการปิดกั้นที่อยู่ IP ที่ถูกต้องคืออะไร? ใช่แล้วมันคือ แต่คุณจะจบลงด้วยข้อผิดพลาด คุณจะบล็อก IP บางอันที่ไม่ใช่สาเหตุของปัญหา (เช่นพร็อกซี) และคุณจะมีคนที่หลีกเลี่ยงการบล็อกด้วยการเปลี่ยน IP บุคคลที่โชคไม่ดีที่ได้รับไอพีที่ถูกแบนในภายหลังจะไม่สามารถเข้าถึงตระกูลของไซต์ดังกล่าวได้ แต่อัตราความผิดพลาดควรน้อย นอกจากว่าคุณกำลังบล็อกไอพีจำนวนมาก แต่ถ้าคุณบล็อกวันละหนึ่งหรือสองวันคุณก็น่าจะสบายดี

คุณอาจต้องการแนะนำรูปแบบที่ซับซ้อนกว่าเล็กน้อยที่คุณบล็อก แต่เพียงช่วงเวลาหนึ่งเช่นปี หากเครือข่ายของคุณมีความสามารถในการ จำกัด ปริมาณแบนด์วิดท์หรือ จำกัด การเชื่อมต่อคุณอาจพิจารณารูปแบบที่ถุงฉีดที่เรียกใช้ Apache Benchmarks บนเว็บไซต์ของคุณเพิ่งติดตั้งกรงที่มีแบนด์วิดท์ จำกัด มาก


1
คุณสามารถปลอมแปลง เพียงดูที่การแย่งชิงเซสชัน TCP google.com/search?q=hijack+tcp+session
Dan

นอกจากว่าผู้โจมตีจะสามารถเข้าถึงทราฟฟิกสตรีมได้การโจมตีตามลำดับ TCP กับระบบปฏิบัติการที่ทันสมัยนั้นไม่สามารถทำได้จริง หากพวกเขาเป็นคนตรงกลางแล้วพวกเขาอาจไม่จำเป็นต้องทำการเชื่อมต่อ TCP หักหลังอยู่ดี
Evan Anderson

10

การปลอมแปลง IP จะดำเนินต่อไปเนื่องจาก ISP นั้นขี้เกียจ

ISP ของฉันถูกประณามอย่างดีรู้ว่าฉันอยู่ตามที่อยู่ที่ระบุหรืออย่างน้อยก็เครือข่ายย่อยที่ฉันเปิดอยู่ แต่ฉันสามารถใช้ที่อยู่แหล่งใดก็ได้ ทำไมถึงเป็นอย่างนั้น? เพียงแค่เสียค่าใช้จ่าย

ถ้าฉันปลอมที่อยู่ไม่กี่ที่นี่และที่นั่นมันไม่มีค่าใช้จ่าย ISP ของฉัน หากผู้ใช้ ISP ของฉันทุกคนปลอมหนึ่งแพ็คเก็ตระหว่าง 1:00 ถึง 2:00 มันจะยังคงเป็นสัญญาณที่แทบจะไม่มีเลย อย่างไรก็ตามเมื่อบ็อตเน็ตส่งแพ็คเก็ตปลอมแปลงจำนวนมากจากโฮสต์จำนวนมากบน ISP หลายเครื่องเครื่องเป้าหมายหรือเครือข่ายจะล้มเหลว

ความจริงทางการเงินคือถ้าคุณไม่ใช่คนที่ถูกโจมตี มีค่าใช้จ่ายในการติดตั้งระบบกรองใกล้กับลูกค้าและผู้ใช้จ่ายเงินได้รับรู้ถึงผลตอบแทนที่น้อยมากนอกเหนือจากการรู้ว่าพวกเขาเป็นพลเมืองเครือข่ายที่ดี

UDP และ ICMP นั้นง่ายที่สุดในการปลอม แต่ TCP ก็เป็นไปได้เช่นกัน มันต้องการระบบปฏิบัติการระยะไกลที่ไม่ปลอดภัยซึ่งใช้หมายเลขลำดับที่คาดเดาได้เพื่อใช้ประโยชน์ บางครั้งมันเป็นเครื่องถ่วงสมดุลที่เปลี่ยนหมายเลขลำดับและทำให้พวกเขาทำนายได้ ดังนั้น TCP จึงเป็นไปได้ แต่ยากกว่า

การต่อต้านการปลอมแปลง DNS เน้นไปที่ด้านความปลอดภัยเป็นส่วนใหญ่เพื่อป้องกันไม่ให้ใครบางคนส่งคำตอบที่ผิดไปยังตัวแก้ไขแบบเรียกซ้ำ ลักษณะที่ท่วมของ UDP ไม่ใช่ DNS ที่เฉพาะเจาะจงนอกเหนือจากการสืบค้นขนาดเล็กเดียว (พูดสำหรับ '.') จะทำให้เกิดการตอบสนองที่ค่อนข้างใหญ่ ดังนั้นมันจึงทำให้เวกเตอร์การขยายที่ดี มีโพรโทคอล UDP อื่น ๆ อีกมากมายที่ทำงานได้ แต่มีการใช้ DNS ทุกหนทุกแห่งและเป็นเรื่องง่ายที่จะค้นหาเครื่องที่จะใช้เพื่อขยายการโจมตี

DNSSEC ทำให้สิ่งนี้เลวร้ายลงด้วยแพ็กเก็ต UDP ที่สามารถเข้าถึงขนาด 4k


6

ที่อยู่ IP นั้นมีความสำคัญน้อยมากในการปลอมแปลงเท่าที่การโจมตีบน DNS (D) DOS นั้นเกี่ยวข้องเนื่องจากโดยทั่วไปมักเป็นกรณีของแพ็คเก็ต UDP ที่ลืมไม่ลง สำหรับทราฟฟิก HTTP นั้นไม่ได้เป็นเช่นนั้นดังนั้นคุณต้องอยู่ในเครือข่ายท้องถิ่นเดียวกับเว็บเซิร์ฟเวอร์ (เป็นไปได้ทั้งหมดขึ้นอยู่กับสถานที่โฮสต์ของคุณ) หรือควบคุมเราเตอร์ระดับกลาง


6

คุณสามารถส่งจดหมายถึงใครก็ได้และถ้าคุณไม่ใส่ที่อยู่ผู้ส่งในซองจดหมาย (หรือใส่ผิด) พวกเขาสามารถจ้างตัวกรองเมลขยะทั้งหมดในโลกและไม่กรองข้อความของคุณโดยไม่เปิด ) มัน

อย่างไรก็ตามหากผู้ส่งต้องการคำตอบที่อยู่ผู้ส่งจะต้องถูกต้องดีขึ้นหรือจะต้องมีกลไกเลเยอร์แอปพลิเคชันสำหรับรับที่อยู่ที่ถูกต้อง ดังนั้นฉันสามารถทำให้คุณคิดว่าคุณกำลังเปิดจดหมายจากนานา แต่ถึงแม้ว่าฉันหลอกคุณด้วยเนื้อหาของจดหมายคุณจะไม่ส่งเช็คที่ทำออกมาเป็นเงินสดไปยังที่อยู่บางส่วนในไนจีเรีย (เว้นแต่ว่า Nana เป็นไนจีเรีย ) ดังนั้นความท้าทาย / การตอบสนองจึงเป็นการป้องกันที่มีประสิทธิภาพตราบใดที่คุณไม่ได้เป็น Man in the Middled


5

ฉันสามารถตั้งค่าที่อยู่ IP ต้นทางใดก็ได้ที่ฉันต้องการในดาตาแกรม
ISP ของฉันจะปล่อยแพ็คเก็ตเช่นนั้นออกมาในป่าหรือไม่เป็นอีกคำถามหนึ่ง


อย่างไรก็ตามมีการเลี่ยงผ่านตัวกรอง ISP หรือไม่
Pacerier

5

แม้ว่านี่จะเป็นความจริงที่ต้องได้รับการจัดการ แต่ปัญหาพื้นฐานนั้นไม่ใช่ทางเทคนิค: ผู้ที่มีเจตนาร้ายพยายามทำสิ่งที่เป็นอันตราย ทางออกที่แท้จริงจึงต้องไม่ใช่ทางเทคนิคเช่นกัน

ฉันคิดว่าสิ่งที่ Stackoverflow ทำนั้นเป็นทางออกที่ถูกต้องสำหรับการจัดการแนวป้องกันที่สอง: เทคนิคสำหรับการ จำกัด ผู้ใช้สแปมที่อาจเกิดขึ้นผ่านวิธีการจำกัดความสามารถในการโต้ตอบกับแพลตฟอร์มก่อนที่จะบรรลุ 'ความน่าเชื่อถือ' ในระดับหนึ่ง

เทคนิคเหล่านี้ไม่เพียงช่วยปรับปรุงคุณภาพโดยรวมของเว็บไซต์เท่านั้น แต่ยังกระตุ้นให้ผู้ใช้มีส่วนร่วมมากขึ้นและให้คำตอบที่น่าเชื่อถือ / น่าเชื่อถือมากขึ้น

จากมุมมองทางเทคนิคสิ่งที่ดีที่สุดที่ควรทำก็คือทำตามที่ Google แนะนำ: มีประสิทธิภาพในการดูดซับ / จัดการกับโหลดเพิ่มเติม

ยอดเยี่ยมและปรับปรุงต่อไป!


3

UDP เป็นส่วนสำคัญที่ทำให้เรื่องนี้เป็นเรื่องง่าย - ในความเป็นจริง Skype และ Slingbox ใช้ประโยชน์จากความสามารถในการปลอมแปลงที่อยู่ IP ใน UDP ได้อย่างง่ายดายเพื่อ ' เจาะ ' ผ่าน NAT และอนุญาตให้ทำแบบ peer-to-peer ได้ง่าย

TCP นั้นยากกว่าเนื่องจากต้องใช้รอบ SYN / ACK เต็มรูปแบบ แต่คุณยังสามารถท่วมเซิร์ฟเวอร์ด้วยแพ็คเก็ต SYN แบบแขวนซึ่งไปยังที่อยู่ IP หลาย ๆ รอบและแยกเราเตอร์จำนวนมากในกระบวนการ


1
เราเตอร์เท่านั้นแพ็กเก็ตเส้นทาง พวกเขาไม่รักษาสถานะ TCP ดังนั้นแพ็คเก็ตคือแพ็คเก็ตเป็นแพ็คเก็ตกับพวกเขา
Michael Graff

จุดดี. ดังนั้นมันจะผูกเซิร์ฟเวอร์ (หรืออุปกรณ์ Front-end ใด ๆ ที่กำลังทำการเจรจา SYN / ACK) รอ ACK ของพวกเขา :-) เรามีโหลดบาลานเซอร์ของเราที่ได้รับการกำหนดค่าให้เจรจา SYN / ACK อย่างเต็มที่ก่อนที่จะส่งไปยังเซิร์ฟเวอร์บน การเชื่อมต่อที่เปิดอยู่แล้วดังนั้นจึงช่วยได้มากในกรณีนี้
Justin

2

ดังที่ได้กล่าวไว้ข้างต้นการใช้พรอกซีเป็นเรื่องเล็กน้อยและมีผู้รับมอบฉันทะที่ไม่เปิดเผยชื่อจำนวนมาก

แม้จะไม่ได้ใช้พร็อกซีฉันก็สามารถตั้งค่าที่อยู่ MAC บนไฟร์วอลล์ของฉันเป็นค่าใดก็ได้ใหม่ตั้งค่าเคเบิลโมเด็มและ ISP ของฉันจะกำหนดที่อยู่ IP ใหม่ให้ฉัน

และนั่นเป็นเพียงการเริ่ม มีวิธีอื่น ๆ อีกมากมายในการรับรอบแบน IP


นี่ไม่ใช่ปัญหา. "ปัญหา" ของจริงที่นี่คือการออกแบบของโปรโตคอล IP ซึ่งไม่มีข้อกำหนดในการตรวจสอบว่าที่อยู่ IP ที่คุณสร้างแพ็คเก็ต IP ของคุณด้วยเป็นของคุณหรือไม่ ดังนั้นคุณจะได้รับอนุญาตให้สร้างพายุของแพ็กเก็ตที่มีแหล่งที่อยู่ (ปลายทาง) ที่แตกต่างกันและไม่มีอะไรจะหยุดคุณจากการส่งพวกเขาออกไป
monomyth

3
บางสิ่งอาจหยุดคุณได้ ISP ของคุณสามารถตั้งค่าตัวกรอง egress บนเราเตอร์เพื่อไม่อนุญาตให้ส่งต่อแพ็กเก็ตเว้นแต่ที่อยู่ IP ต้นทางจะเป็นของเครือข่ายนั้นจริง
Zoredache

2

ถ้าเป็นเช่นนั้นการบรรเทาปัญหาอะไรบ้างที่เป็นไปได้?

ไม่มากที่คุณสามารถทำได้ในด้านการรับ

ISP ของผู้ปลอมแปลงควรกรองการรับส่งข้อมูลขาออกเพื่อให้ลูกค้าไม่สามารถปลอมแปลง IP จากเครือข่ายต่างๆ

มีเพียงไม่กี่บรรทัดในการกำหนดค่าเราเตอร์ดังนั้นจึงไม่มีข้อแก้ตัวที่ดีที่จะไม่ทำ

มีวิธีในการติดตามผู้โจมตี แต่ต้องมีการรวมกันของผู้ให้บริการต้นน้ำของคุณ: http://www.cymru.com/Documents/dos-and-vip.html


2

ตามที่คนอื่น ๆ ได้ชี้ให้เห็น UDP นั้นค่อนข้างง่ายที่จะปลอมแปลง TCP ไม่มาก

การป้องกันที่ต้องการ แต่น่าเสียดายที่ไม่ได้นำไปใช้ในระดับสากลคือตัวกรอง egress

สำหรับ ISP ที่ใช้บริการ DSL ฯลฯ แต่ละสายเสมือนควรได้รับการกำหนดค่าด้วยip verify unicast reverse-path(หรือสิ่งที่เทียบเท่ากับที่ไม่ใช่ของ Cisco) ซึ่งจะปิดกั้นแพ็กเก็ตใด ๆ ที่มีที่อยู่ IP ต้นทางไม่อยู่ในช่วงที่ทราบว่าถูกกำหนดเส้นทางลง


1

ฉันจำได้ว่าทำซ็อกเก็ตการเขียนโปรแกรมในช่วงปลายปี 90 กับสิ่งที่อาจเป็น Visual Basic และเราสามารถตั้งค่า IP ต้นทางในการเชื่อมต่อของเรา ฉันจำได้ชัดเจนว่าเมื่อเราลองมัน netstat - และก็แสดง IP จริง แต่บันทึกของ Apache แสดง IP ที่ปลอมแปลง และฉันคิดว่า Apache ส่ง IP ปลอมแปลงไปยังโมดูล perl และอื่น ๆ เช่นกัน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.