web-dev-qa-db-fra.com

Qu'est-ce que le filtrage d'entrée et comment ça marche?

Je sais que le filtrage d'entrée est utilisé pour essayer de vérifier qu'un paquet est venu de l'adresse IP qu'il ressortait d'origine. Mais comment est-il possible de vérifier cela quand tout ce que vous avez est le paquet? Que vérifiez-vous? Peut-être une explication sur la manière dont les œuvres d'entrepoofing d'adresse IP aideraient.

1
user3685285

Je sais que le filtrage d'entrée est utilisé pour essayer de vérifier qu'un paquet est venu de l'adresse IP qu'il ressortait d'origine. Mais comment est-il possible de vérifier cela quand tout ce que vous avez est le paquet?

Le filtrage d'entrée vérifie que l'adresse IP source dans le paquet se trouve sur la liste des adresses IP source autorisées. Il n'a aucun moyen de vérifier si le paquet est venu de là ou non.

Que vérifiez-vous?

Il vérifie l'adresse IP dans le paquet sur la liste maintenue sur le filtre. Si le filtre n'autorise que les adresses source 192.168.1.0/24 et un paquet avec une adresse source 172.16.1.23 arrive, il ne sera pas permet à ce paquet . D'autre part, un paquet avec une adresse source de 192.168.1.45 sera autorisé .

Peut-être une explication sur la manière dont les œuvres d'entrepoofing d'adresse IP aideraient.

En spoofing IP, le client crée un paquet avec une adresse source Fausse. Lorsque le filtre examine ce paquet, il fera confiance à l'adresse source qu'il voit et le laissera. Adresse IP Spoofing est la méthode utilisée pour contourner le filtrage d'entrée. Cependant, toutes les réponses à ce paquet iront, non pas à l'expéditeur malveillant, mais au propriétaire sans méfiance de cette adresse source forgée. Cela limite la convivialité de l'entrepoofing IP aux cas où

  1. Vous n'avez pas besoin d'une session de paquets d'avant en arrière ou
  2. Vous contrôlez l'infrastructure de réseau nécessaire pour abuser de ce chemin de retour.

Vous voudrez peut-être lire sur le Attack Mitnick qui est peut-être l'exemple le plus célèbre de quelqu'un qui réussit à spoiser une adresse et de le faire fonctionner assez longtemps pour obtenir quelque chose d'une session. En effet, il a réussi à simuler une session avec une adresse source forgée par a) prédire le comportement du serveur qu'il ne pouvait pas voir et b) supprimer les réponses naturelles de la cible interurbée des paquets "non sollicités".

Les spoofs IP sont les plus couramment observés avec des choses comme des attaques DDO, où les attaquants enverront des paquets bloqués, car ils ne se soucient pas d'une réponse - ils essaient simplement d'inonder la victime avec des paquets. La modification de l'adresse source facilite le dissimulation de la source de l'attaque et de filtrer plus fort (car l'adresse bloquée peut changer chaque fois qu'il le souhaite).

Vous verrez également "filtrage de la sortie" mentionné - dans l'affaire DDOS, cela signifie que lorsqu'un utilisateur de modem câble à Hoboken, New Jersey envoie un paquet, son fournisseur de services Internet vérifiera qu'il utilise une de leurs adresses et la dépose ou bloquez-la. Si ce n'est pas le cas. Si tous les fournisseurs de services Internet filtrant la sortie de la sortie, les DDO ne seraient pas en mesure d'utiliser des adresses spoofées pour confondre les défenseurs. Malheureusement, il relève de la catégorie de "faire quelque chose de droit qui profite aux autres personnes mais pas la personne qui doit le faire", ce n'est donc pas aussi commun que cela devrait être.

4
gowenfawr