Что такое Спуфинг / Spoofing


Спуфинг (Spoofing) - имитация соединения, получение доступа обманным путём. Способность маршрутизатора реагировать на некоторые сетевые запросы действиями местного характера с целью избежать необходимости установления соединения с удалённым пунктом. Используется хакерами для обхода систем управления доступом на основе IP-адресов путём маскирования под другую систему (её IP-адрес). Другое использование – маскировка ложных сайтов под легальный бизнес, с целью получить от посетителей номера кредитных карточек обманным путем.


Spoofing IP
Это подмена исходного адреса в заголовке пакетов. Однако Spoofing IP не является уникальным способ скрытия/изменения IP-адреса, аналогичный proxy или socks. Спуфинг лишь позволяет изменить IP-адрес в заголовке пакета, но не удерживать этот адрес как свой (т.е. ты не сможешь получить ответ, его получит хозяин адреса, который ты указал вместо своего). Т.е., для того, чтобы изменить свой IP-адрес в заголовке, необходимо работать с межсетевым уровнем.

Целью спуфинга обычно является вызов DoS (отказа в обслуживании) или провокация DDoS (распределённой атаки с целью вызова DoS). А вот способов обеспечения DoS/DDoS с помощью IP-спуфинга несколько:

  1. Чтобы выполнить DoS-атаку на сервер (А) необходимо отослать ему много ICMP-пакетов. Изменить свой ip просто на какой-то левый, чтобы пакеты, которыми отвечает сервер (А) не вызвали DoS на Вашей машине. А так сервер (А) будет отвечать на них другой машине, которой, возможно, даже не существует;
  2. Изменяем свой IP на IP "жертвы". Затем отсылаем пакеты серверу (В), а он, в свою очередь, DoSит "жертву", адрес которой указан в этих пакетах;
  3. Как адрес отправителя, так и адрес получателя равен адресу "жертвы". Отсылаем множество таких пакетов, и "жертва" DoSит сама себя.

Практически любой сервер уязвим к DoS-атаке, если не умеет резать пакеты, приходящие к нему с его же адреса, или не может отличить обычный пользовательский запрос от DoS-атаки.
На практике большое значение имеет ширина канала (Вашего, "жертвы" и сервера). Выигрывает обычно тот, у кого канал шире и мозгов больше.
В распределённой атаке спуфинг применяется обычно для скрытия адреса хозяина машин-зомби. Самим зомби спуфинг не обязателен. Здесь уже будет важна не столько ширина Вашего канала, сколько количество этих зомби.


ARP-spoofing
Техника атаки в Ethernet сетях, позволяющая перехватывать трафик между хостами. Основана на использовании протокола ARP и позволяющая перехватывать трафик между узлами, расположенными в пределах одного широковещательного домена.
ARP spoofing - это атака, используемая для прослушивания сети, построенной на свитчах, и состоящая в том, что злоумышленник посылает ложные ARP-пакеты с целью убедить компьютер жертвы, что прослушивающий компьютер и есть конечный адресат. Далее пакеты логгируются и пересылаются реальному получателю, mac-адрес отправителя в них подменяется, чтобы ответные пакеты тоже шли через прослушивающий компьютер. Прослушивающий компьютер становится "шлюзом" для трафика жертвы, и злоумышленники получают возможность прослушивать трафик, например общение по ICQ, почту жертвы и др. Соединение прослушивающего компьютера с сетью является узким местом, т.к. трафик жертвы совершает "петли" в сети, обязательно проходя прослушивающий компьютер. При попытке прослушать трафик нескольких активно общающихся компьютеров и соответственно возникающим при этом переполнением APR-таблиц возможна перегрузка, и, как следствие, падение сети.

Современные фаерволлы умеют выявлять и пресекать ARP-spoofing. Тем не менее, у "специалистов" есть свои возможности обходить запреты фаервола. Поэтому следует использовать 2 варианта пресечения ARP-атак:

  • использование фаервола;
  • при знании всех mac адресов машин, с которыми нужно работать, необходимо прописать их статически в arp-таблицу, а в фаерволе запретить arp-трафик (использовать статические arp-таблицы на ключевых звеньях сети (серверах, шлюзах и т.п.)).

В принципе, АРП-спуфинг бесполезен без сниффера. При сниффинге сетевой адаптер переходит в специфический режим работы, а отследить режим работы адаптера, возможно. Есть программы, показывающие режимы работы сетевого оборудования. Для средних и крупных компаний в целях предотвращения таких атак рекомендуются комплексные системы информационной безопасности на базе решений Cisco Systems.

Cisco для обнаружения всех видов атак предлагает метод исследования аномалий в сети - Anomaly Detector. Этот инструмент может иметь аппаратную и программную основу, следит за пользователями в сети, анализирует их действия и при возникновении подозрительных ситуаций автоматически принимает соответствующие меры.