Mit IP-Optionen können wir die Route angeben, die ein IP-Paket bei der Verbindung mit einem Server nehmen soll. Wenn wir wissen, dass ein bestimmter Server basierend auf der IP-Adresse zusätzliche Funktionen bereitstellt, können wir diese nicht nutzen, indem wir ein IP-Paket so fälschen, dass die Quell-IP-Adresse die privilegierte IP-Adresse ist und einer der Hosts auf dem Quellrouting unser eigener ist.
Wenn also die privilegierte IP-Adresse x1 und die Server-IP-Adresse x2 ist und meine eigene IP-Adresse x3 ist, sende ich ein Paket von x1 an x2, das durch x3 laufen soll. x1 sendet das Paket nicht wirklich. x2 denkt nur, dass das Paket von x1 über x3 kam. Wenn x2 nun als Antwort dieselbe Routing-Richtlinie verwendet (aus Rücksicht auf x1), werden alle Pakete von x3 empfangen.
Verwendet das Ziel normalerweise dieselben IP-Adresssequenzen wie im Routing-Header angegeben, sodass vom Server kommende Pakete über meine IP laufen, wo ich die erforderlichen Informationen erhalten kann?
Können wir im obigen Fall keine TCP-Verbindung vortäuschen?
Wird dieser Angriff in der Praxis eingesetzt? Hat ihn schon jemand angewendet?
Antwort1
Das ist doch mal eine gute Idee. Aber keine Angst, dieser Angriff ist bereits bekannt:
- http://www.citi.umich.edu/u/provos/papers/secnet-spoof.txt
- http://technet.microsoft.com/en-us/library/cc723706.aspx
Die Gefahr wird dadurch gemindert, dass Quell-Routing-Pakete im Allgemeinen an den Grenzen von Organisationen blockiert werden und dass Quell-Routing in Server-Betriebssystemen wie FreeBSD und OpenBSD (und zumindest einigen Linux-Distributionen, z. B. Arch Linux) standardmäßig deaktiviert ist. Zitat aus dem ersten Link:
Die Auswirkungen dieser Warnung sind stark eingeschränkt, da viele Organisationen Quell-Routing-Pakete und Pakete mit Adressen innerhalb ihrer Netzwerke blockieren. Daher stellen wir diese Informationen eher als Warnung für technisch versierte Personen dar und möchten noch einmal betonen, dass die Randomisierung von TCP-Sequenznummern keine effektive Lösung gegen diesen Angriff ist.