Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Подделка IP-адресов
Автор: adm
Любое соединенное с Интернетом устройство обязательно посылает в сеть IP-дейтаграммы. В этих дейтаграммах содержится IP-адрес отправителя, а также данные более высоких уровней. Пользователь, обладающий полным контролем над программным обеспечением этого устройства (в частности, над операционной системой), может модифицировать протоколы устройства так, чтобы в поле адреса отправителя дейтаграммы оказался нужный IP-адрес. Такой метод называется подделкой IP-адресов, или IP-спуфингом.
Таким образом, пользователь может послать IP-дейтаграмму с произвольным содержимым от имени любого другого пользователя. Подделка IP-адресов часто применяется в атаках отказа в обслуживании (подробнее о них рассказано в следующем подразделе), чтобы скрыть истинный источник атаки. Если дейтаграмма содержит фальшивый IP-адрес отправителя, найти хост, с которого она была отправлена в сеть, довольно трудно.
С технической точки зрения предотвратить подделку IP-адресов нетрудно. Маршрутизаторы, осуществляющие входную фильтрацию, проверяют IP-адреса входящих дейтаграмм и определяют, попадает ли данный IP-адрес в то множество адресов, которое доступно через данный сетевой интерфейс. Такая проверка может осуществляться на границе сети, например на корпоративном шлюзе или брандмауэре, где диапазон адресов хостов корпоративной сети очень легко определяется. На сегодняшний день входная фильтрация рассматривается как лучший метод борьбы с подделкой IP-адресов (RFC 2827). Хотя технически входную фильтрацию выполнить довольно просто, заставить это сделать организацию, владеющую маршрутизатором, против ее воли невозможно. В результате входная фильтрация применяется далеко не везде.
Таким образом, пользователь может послать IP-дейтаграмму с произвольным содержимым от имени любого другого пользователя. Подделка IP-адресов часто применяется в атаках отказа в обслуживании (подробнее о них рассказано в следующем подразделе), чтобы скрыть истинный источник атаки. Если дейтаграмма содержит фальшивый IP-адрес отправителя, найти хост, с которого она была отправлена в сеть, довольно трудно.
С технической точки зрения предотвратить подделку IP-адресов нетрудно. Маршрутизаторы, осуществляющие входную фильтрацию, проверяют IP-адреса входящих дейтаграмм и определяют, попадает ли данный IP-адрес в то множество адресов, которое доступно через данный сетевой интерфейс. Такая проверка может осуществляться на границе сети, например на корпоративном шлюзе или брандмауэре, где диапазон адресов хостов корпоративной сети очень легко определяется. На сегодняшний день входная фильтрация рассматривается как лучший метод борьбы с подделкой IP-адресов (RFC 2827). Хотя технически входную фильтрацию выполнить довольно просто, заставить это сделать организацию, владеющую маршрутизатором, против ее воли невозможно. В результате входная фильтрация применяется далеко не везде.
Комментарии
Нет комментариев. Вы можете быть первым!