IP Spoofing به معنای ساخت IP Packet بدست هرکسی جز آدرس های اصلی مبداء (IP source addressess) است. این روش با دلایل روشنی مورد استفاده قرار میگیرد و چندین نوع حمله که بعدا مورد بحث قرار خواهد گرفت، با استفاده از این روش انجام میشوند. با بررسی هدر IP، میتوانیم ببینیم که 122 بیت اول شامل اطلاعات مختلفی درباره packet است. 8 بیت بعدی شامل آدرس های مبداء و مقصد است. هکر با استفاده از یکی از چندین ابزار موجود در این زمینه، میتواند براحتی این ادرس ها را ویرایش کند ( بخصوص فیلد آدرس مبداء). تصور غلطی که در این باره وجود دارد اینست که IP Spoofing میتواند آدرس Ipp ما را به هنگام وبگردی، چت انلاین، ارسال ایمیل و ... مخفی نگه دارد. این موضوع بصورت کلی درست نیست. جعل آدرس IP مبداء باعث میشود که پاسخی که به درخواست های ارسال از این مبداء جعلی از طرف مقصد ارسال میشود، گمراه کننده باشد، به این معنی که شما نمیتوانید یک ارتباط نرمال را ایجاد کنید.
مبداء ای که آدرسش معتبر است، نشان میدهد که یک تعامل داخلی بین یک workstation (با آدرس مبداء معتبری که درخواست ها را ارسال میکند) با با وب سروری که درخواست ها را اجرا میکند، وجود دارد. وقتی که workstation درخواست صفحه وبی را به وب سرور ارسال کند، این درخواست شامل هر دو آدرس workstation ( مثلا 192.168.0.5) و وب سرور (مثلا 10.0.0.23) خواهد بود. وب سرور صفحه وب مورد نظر را با استفاده از آدرس مبداء ای که در درخواست مشخص شده بود، این بار به عنوان آدرس مقصد ( 192.168.0.5) جایگذاری کرده و آدرس خودش (10.0.0.23) را به عنوان آدرس مبداء لحاظ میکند.
آدرس مبداء جعلی ارتباط بین یک workstation (درخواست دهنده وب پیج با آدرس مبداء جعلی) با وب سروری را نشان میدهد که درخواست ها را اجرا میکند. اگر آدرس جعلی (به عنوان مثال 172.16.0.6) توسط workstation مورد استفاده باشد، وب سرور درخواست ها را اجرا کرده و سعی میکند تا آن ها را بجای ارسال به workstation با آدرس جعلی، به سیستمی بفرستند که آدرس واقعی آن 172.16.0.6 است. سیستمی که آدرس آن مورد spoof قرار گرفته است، با دریافت کانکشن هایی ناخواسته از طرف وب سرور مواجهه میشود که چون از ابتدا خود درخواست دهنده آن ها نبوده، آن ها را از بین خواهد برد.
مکانیزم مسیریابی IP و مشکلات آن
مکانیزم مسیریابی IP بصورت هاپ به هاپ است. هر IP Packet بصورت جداگانه مسیریابی میشود. مسیرنهایی یک IP Packet بر اساس تصمیم تمامی روترهایی که packet از آن ها عبور میکند، تعیین میشود. جعل IP به این خاطر امکان پذیر است که روترها برای مسیریابی به آدرس مقصد هر Packet احتیاج دارند تا بتوانند تصمیم درستی برای مسیریابی بگیرند. روترها با آدرس مبداء برای مسیریابی کاری ندارند؛ بنابراین آدرس مبداء غیرمعتبر تاثیری بر تحویل Packet نخواهد داشت. این آدرس فقط زمانی مورد استفاده قرار خواهد گرفت که سیستم مقصد بخواهد پاسخ مناسبی به درخواست رسیده شده بدهد.
IP Address Spoofing
مسیریابی نامتقارن ( مسیریابی تقسیم شده)
مسیریابی نامتقارن به این معنی است که ترافیک از اینترفیس های مختلفی در مسیرهای رفت و برگشت برای عبور استفاده خواهد کرد. به عبارت دیگر مسیریابی نامتقارن زمانی رخ میدهد که پاسخ (Response) به یک packet از مسیر متفاوتی نسبت به آنچه که packet در مسیر رفت طی کرده است، عبور خواهد نمود. اگر بخواهیم بصورت قانون این موضوع را بیان کنیم، خواهیم داشت: "برای هر آدرس مبداء A و مقصد B، مسیر دنبال شده برای هر Packet (درخواست یا پاسخ) از A به B متفاوت است از مسیر طی شده هر Packet از B به A.
حملات مبتنی بر IP Address Spoofing
در ادامه به معرفی حملاتی که بر پایه جعل آدرس صورت میگیرند، میپردازیم. به عنوان نمونه دو مورد اول را توضیح داده و بقیه موارد را در قسمت دوم این آموزش توضیح خواهیم داد:
1 . Blind IP Spoofing
معمولا اینطور است که حمله کننده روی پاسخ ارسالی از مقصد (reply) دسترسی ندارد، به همین علت از اعتمادی (trust) که بین هاست ها برقرار است، سوء استفاده میکند. برای مثال هاست C یک IP packet با آدرس هاست دیگر (A) به عنوان آدرس مبداء به هاست B ارسال میکند. در نتیجه هاست B که مورد حمله قرار گرفته است، به هاست A پاسخ ها را ارسال خواهد کرد.
2 . حملات مرد میانی (Man-in-the-Middle Attacks)
اگر حمله کننده کنترل gateway ای که در مسیر تحویل packet وجود دارد، بدست گیرد، او میتواند:
• ترافیک را شنود کند
• در ترافیک تاخیر ایجاد کند، جلوی آن را بگیرد و یا آن را تکه تکه کند.
• ترافیک را تغییر دهد.
این کار در بستر اینترنت بخاطر وجود مسیریابی هاپ به هاپ کار ساده ای نیست، مگر آن که شما کنترل یکی از هاست های میانی و یا کنترل مبداء مسیریابی را بدست بگیرید.
3 . حملات مرتبط با پروتکل های مسیریابی
4 . حمله جعل آدرس IP با استفاده از ICMP
5 . حملات ICMP ECHO
6 . حملات ICMP Destination Unreachable
7 . حملات UDP
8 . حملات TCP
نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
