IP Spoofing

Apa Sih IP Spoofing itu?

Penjahat telah lama digunakan taktik masking identitas sejati mereka, dari penyamaran untuk memblokir alias ke pemanggil-id. Seharusnya tidak mengherankan kemudian, bahwa penjahat yang melakukan kegiatan keji mereka di jaringan dan komputer harus menggunakan teknik tersebut. IP spoofing merupakan salah satu bentuk yang paling umum kamuflase on-line. Dalam spoofing IP, mengakses keuntungan penyerang yang tidak sah ke komputer atau jaringan dengan membuat kesan bahwa pesan berbahaya telah datang dari mesin dipercaya oleh “spoofing” alamat IP dari mesin yang. Pada artikel ini, kita akan membahas konsep-konsep spoofing IP: mengapa hal ini mungkin, cara kerjanya, apa yang digunakan untuk dan bagaimana mencegahnya.
Sejarah

Konsep dari spoofing IP, pada awalnya dibahas di kalangan akademik di tahun 1980-an. Sementara diketahui tentang untuk kadang-kadang, itu terutama teoritis sampai Robert Morris, yang putranya menulis Internet Worm pertama, menemukan kelemahan dari keamanan dalam protokol TCP yang dikenal dengan prediksi urutan. Stephen Bellovin masalah dibahas secara mendalam di Keamanan Permasalahan dalam TCP / IP Protocol Suite, sebuah makalah yang membahas masalah desain dengan protokol TCP / IP. Serangan terkenal, Kevin Mitnick Hari Natal retak mesin Tsutomu Shimomura’s, bekerja dengan teknik spoofing IP dan prediksi urutan TCP. Sementara popularitas retak seperti telah menurun karena runtuhnya layanan yang mereka dieksploitasi, spoofing masih dapat digunakan dan perlu ditangani oleh semua administrator keamanan.
Diskusi Teknis
Untuk benar-benar mengerti bagaimana serangan dapat terjadi, kita harus memeriksa struktur protokol TCP / IP. Sebuah pemahaman dasar dari header dan pertukaran jaringan sangat penting untuk proses itu.
Internet Protocol – IP
protokol Internet (IP) adalah protokol yang beroperasi pada lapisan jaringan 3 (jaringan) dari model OSI. Ini adalah model connectionless, berarti tidak ada informasi mengenai negara transaksi, yang digunakan untuk paket rute di dalam sebuah jaringan. Selain itu, tidak ada metode untuk memastikan bahwa paket dengan benar dikirimkan ke tujuan.

Meneliti header IP, kita bisa melihat bahwa 12 byte pertama (atau atas 3 baris header) mengandung berbagai informasi tentang paket tersebut. 8 berikutnya byte (2 baris berikutnya), namun, berisi sumber dan alamat tujuan IP. Dengan menggunakan salah satu dari beberapa alat bantu, penyerang dapat dengan mudah memodifikasi alamat ini – terutama alamat sumber “” lapangan. Sangat penting untuk dicatat bahwa setiap datagram dikirim independen dari semua orang lain karena sifat stateless dari IP. Simpan fakta ini dalam pikiran seperti yang kita memeriksa TCP dalam bagian berikutnya.

Transmission Control Protocol – TCP
IP dapat dianggap sebagai pembungkus routing untuk lapisan 4 (transportasi), yang berisi Transmission Control Protocol (TCP). Tidak seperti IP, TCP menggunakan desain connection-oriented. Ini berarti bahwa para peserta dalam sesi TCP pertama harus membangun koneksi – melalui 3-way handshake (SYN-SYN/ACK-ACK) – kemudian memperbarui satu sama lain tentang kemajuan – melalui urutan dan pengakuan. Ini percakapan “”, memastikan keandalan data, karena pengirim menerima OK dari penerima setelah setiap pertukaran paket.

Seperti yang dapat Anda lihat di atas, header TCP sangat berbeda dari header IP. Kami prihatin dengan 12 byte pertama dari paket TCP, yang berisi informasi port dan sekuensing. Banyak seperti datagram IP, paket-paket TCP dapat dimanipulasi menggunakan perangkat lunak. Sumber dan port tujuan biasanya tergantung pada aplikasi jaringan yang digunakan (misalnya, HTTP melalui port 80). Apa yang penting bagi pemahaman kita tentang spoofing adalah nomor urutan dan pengakuan. Data yang terkandung dalam bidang ini memastikan pengiriman paket dengan menentukan apakah atau tidak paket perlu membenci. Nomor urutan jumlah byte pertama dalam paket saat ini, yang relevan dengan data stream. Jumlah pengakuan, pada gilirannya, mengandung nilai nomor urutan berikutnya diharapkan dalam sungai. Hubungan ini menegaskan, pada kedua ujung, bahwa paket diterima tepat. Ini sangat berbeda dari IP, karena negara transaksi diawasi secara ketat.

Konsekuensi dari TCP / IP Desain
Sekarang bahwa kita memiliki gambaran dari TCP / IP format, mari kita periksa akibatnya. Jelas, sangat mudah untuk masker sumber alamat dengan memanipulasi header IP. Teknik ini digunakan karena alasan yang jelas dan digunakan pada beberapa serangan dibahas di bawah ini. Konsekuensi lain, spesifik untuk TCP, adalah urutan nomor prediksi, yang dapat menyebabkan pembajakan sesi atau host meniru. Metode ini didasarkan pada spoofing IP, sejak sesi, meskipun yang palsu, dibangun. Kami akan memeriksa cabang-cabang ini dalam serangan dibahas di bawah ini.

Serangan spoofing
Ada beberapa variasi pada jenis serangan yang berhasil menggunakan IP spoofing. Meskipun beberapa relatif tanggal, yang lainnya sangat berkaitan dengan masalah keamanan saat ini.

Non-Blind Spoofing
Jenis serangan ini terjadi ketika penyerang berada di subnet yang sama dengan korban. Urutan dan nomor pengakuan dapat mengendus, menghilangkan potensi kesulitan menghitung dengan akurat. Ancaman terbesar spoofing dalam hal ini akan pembajakan sesi. Ini dilakukan dengan merusak datastream dari koneksi yang mapan, kemudian mendirikan kembali itu didasarkan pada nomor urutan yang benar dan pengakuan dengan mesin serangan. Dengan menggunakan teknik ini, penyerang dapat secara efektif memotong otentikasi tindakan yang dilakukan untuk membangun koneksi.

Blind Spoofing
Ini adalah serangan yang lebih canggih, karena urutan dan nomor pengakuan yang terjangkau. Untuk menghindari ini, beberapa paket dikirim ke mesin target untuk jumlah sampel urutan. Walaupun tidak terjadi saat ini, teknik mesin di masa lalu dasar yang digunakan untuk menghasilkan nomor urut. Itu relatif mudah untuk menemukan formula yang tepat dengan mempelajari paket dan sesi TCP. Saat ini, OS generasi paling mengimplementasikan urutan bilangan acak, sehingga sulit untuk memprediksi dengan akurat. Namun, jika nomor urutan terserang, data dapat dikirim ke target. Beberapa tahun yang lalu, banyak mesin yang menggunakan jasa otentikasi berbasis host (yaitu rlogin). Serangan benar dibuat bisa menambahkan data yang diperlukan untuk sistem (yaitu sebuah akun user baru), membabi buta, memungkinkan akses penuh untuk penyerang yang menyamar sebagai host yang terpercaya.

Manusia Dalam Serangan Tengah
Kedua jenis spoofing adalah bentuk-bentuk pelanggaran keamanan umum dikenal sebagai orang di tengah (MITM) serangan. Dalam serangan ini, pihak yang jahat memotong komunikasi yang sah antara dua pihak ramah. Tuan rumah berbahaya kemudian mengontrol arus komunikasi dan dapat menghilangkan atau mengubah informasi yang dikirim oleh salah satu peserta yang asli tanpa sepengetahuan baik pengirim atau penerima asli. Dengan cara ini, penyerang bisa mengelabui korban dalam mengungkapkan informasi rahasia oleh “spoofing” identitas dari pengirim yang asli, yang mungkin dipercaya oleh penerima.

Denial of Service Attack
IP spoofing hampir selalu digunakan dalam apa yang merupakan salah satu serangan yang paling sulit untuk mempertahankan diri – penolakan serangan layanan, atau DoS. Sejak kerupuk prihatin hanya dengan mengkonsumsi bandwidth dan sumber daya, mereka tidak perlu khawatir tentang benar menyelesaikan jabat tangan dan transaksi. Sebaliknya, mereka ingin korban banjir dengan paket sebanyak mungkin dalam waktu singkat. Untuk memperpanjang efektivitas serangan, mereka spoof alamat IP sumber untuk membuat pelacakan dan menghentikan DoS sesulit mungkin. Ketika host beberapa berkompromi berpartisipasi dalam serangan itu, semua lalu lintas pengiriman palsu, sangat menantang untuk segera memblokir lalu lintas.

Kesalahpahaman dari IP Spoofing
Sementara beberapa serangan yang dijelaskan di atas agak ketinggalan jaman, seperti sesi pembajakan untuk layanan otentikasi berbasis host, spoofing IP masih lazim di jaringan scanning dan probe, serta banjir penolakan layanan. Namun, teknik ini tidak memungkinkan untuk akses Internet anonim, yang merupakan kesalahpahaman umum bagi mereka yang tidak terbiasa dengan praktek tersebut. Apapun di luar banjir sederhana spoofing relatif maju dan digunakan dalam kasus yang sangat spesifik seperti penggelapan dan pembajakan koneksi.
Mempertahankan Terhadap Spoofing
Ada beberapa tindakan pencegahan yang dapat dilakukan untuk membatasi risiko IP spoofing pada jaringan Anda, seperti:
Penyaringan di Router – Pelaksana dan jalan keluar masuknya filtering pada router perbatasan Anda adalah tempat yang tepat untuk memulai pertahanan spoofing Anda. Anda akan perlu menerapkan ACL (daftar kontrol akses) yang menghalangi swasta alamat IP pada antarmuka hilir Anda. Selain itu, interface ini seharusnya tidak menerima alamat dengan rentang internal Anda sebagai sumber, karena ini adalah teknik spoofing umum digunakan untuk menghindari firewall. Pada antarmuka hulu, Anda harus membatasi alamat sumber di luar jangkauan Anda yang valid, yang akan mencegah orang di jaringan anda dari mengirimkan lalu lintas palsu ke Internet.
Enkripsi dan Otentikasi – Menerapkan enkripsi dan otentikasi juga akan mengurangi ancaman spoofing. Kedua fitur tersebut termasuk dalam IPv6, yang akan menghilangkan ancaman spoofing saat ini. Selain itu, Anda harus menghilangkan semua tindakan otentikasi berbasis host, yang kadang-kadang umum untuk mesin di subnet yang sama. Pastikan bahwa langkah otentikasi yang tepat berada di tempat dan dilakukan selama aman (terenkripsi) saluran.

Kesimpulan
IP spoofing adalah masalah tanpa solusi yang mudah, karena itu melekat dengan desain TCP / IP suite. Memahami bagaimana dan mengapa serangan spoofing digunakan, dikombinasikan dengan beberapa metode pencegahan yang sederhana, dapat membantu melindungi jaringan Anda dari cloaking berbahaya dan teknik cracking.
Matt Tanase adalah Presiden Qaddisin. Dia dan perusahaannya menyediakan jasa konsultasi keamanan nasional. Selain itu, dia menghasilkan The Blog Keamanan, sebuah harian weblog yang didedikasikan untuk keamanan jaringan.
comments powered by Disqus