IP SPOOFING

Introduction

Les hackers ont longtemps utilisé la tactique de dissimulation de leur véritable identité, de déguisements, d'alias de l'appelant. On ne s'étonne donc pas que les hackers qui mènent des activités nuisibles sur les réseaux et les ordinateurs emploient ces techniques. L'usurpation d'adresse IP est l'une des formes les plus courantes de camouflage en ligne.

En usurpant une adresse IP, un attaquant obtient un accès non autorisé à un autre ordinateur cible (ou à un réseau) en faisant apparaître l'IP de la victime (l'IP "spoofée"). Ainsi le matériel attaqué croit que l'échange se fait avec X alors que c'est en fait Y qui est derrière.

Dans cet article, nous allons examiner les concepts d'usurpation d'adresse IP. Pourquoi cela est possible et comment, ses différentes formes et usages et le moyens de s'en défendre.

Aspects techniques

• Protocole Internet (IP) : C'est un protocole de réseau situé à la couche 3 (réseau) du modèle OSI. Il s'agit d'un modèle de connexion, c'est-à-dire qu'il n'existe aucune information concernant l'état de transaction, qui est utilisé pour router les paquets sur un réseau. En outre, il n'existe pas de méthode mis en place pour veiller à ce qu'un paquet soit livré correctement à la destination.


• Transmission Control Protocol (TCP) : Contrairement à IP, TCP utilise une connection-oriented design. Cela signifie que les participants à une session TCP doivent d'abord établir une connexion - via le 3-way handshakes (SYN-SYN/ACK-ACK) - puis les mettre à jour par séquences et reconnaissances.

Attaques possibles

• Non-blind spoofing : Ce type d'attaque a lieu quand l'attaquant se trouve sur le même sous-réseau que la victime. Les numéros de séquence et d'acquittement peuvent être sniffés, éliminant la potentielle difficulté de calculer avec précision. La plus grande menace de spoofing dans ce cas serait le hijacking. Ceci est accompli par une corruption de données lors d'une connexion établie ; elle repose sur des numéros de séquence et d'acquittement de l'attaque machine. A l'aide de cette technique, un attaquant pourrait contourner efficacement les authentifications des mesures prises pour renforcer la connexion.


• Blind Spoofing : Il s'agit d'une attaque plus sophistiquée. Les numéros de séquence et d'acquittement sont inaccessibles. Afin de contourner cela, plusieurs paquets sont envoyés à la machine cible afin d'échantillonner les numéros de séquence. Bien que ce n'est plus le cas aujourd'hui, les machines utilisées dans le passé utilisaient des techniques de base pour générer des numéros de séquence. Il est relativement facile de découvrir la formule exacte et en étudiant les paquets TCP des sessions.
  Aujourd'hui, la plupart des séquences d'exploitation appliquent une génération de nombres aléatoires, ce qui rend difficile de prédire avec précision. Si toutefois le numéro de séquence a été compromis, les données peuvent être envoyées à la cible.
  Il ya plusieurs années, de nombreuses machines utilisaient l'hôte d'authentification basée sur les services (c'est-à-dire Rlogin). Une attaque bien conçue pourrait ajouter les données nécessaires au système (c'est-à-dire un nouveau compte utilisateur), les yeux fermés, ce qui permet un accès complet pour l'attaquant usurpant l'identité d'un hôte.


• Man in the Middle (MITM) : L'attaque de "l'homme du milieu" nécessite l'interception d'une partie légitime de communication entre deux parties. L'hôte malveillant "écoute" la transmission de paquets entre les victimes A et B et contrôle l'écoulement de la communication (pouvant donc éliminer ou modifier les informations envoyées par l'un des premiers participants à l'insu de l'original ; pour l'expéditeur comme pour le destinataire. De cette façon, un attaquant peut tromper une victime et récupérer des informations par "spoofing" provenant de l'expéditeur, qui lui est pourtant digne de confiance par le destinataire.


• DoS / DDoS : L'IP spoofing est presque toujours utilisée dans ce qui est actuellement l'une des attaques les plus difficiles à combattre : les attaques par déni de service (ou DoS). Les ddosers ne sont concernés que par la consommation de bande passante et de ressources, ils n'ont pas besoin de se préoccuper de remplir correctement le handshake, les transactions, etc. Au contraire, ils souhaitent inonder la victime avec autant de paquets que possible en un minimum de temps.
  Afin de prolonger l'efficacité de l'attaque, ils falsifient les adresses IP sources ce qui stoppe le traçage DoS rendant difficile voire impossible leur identification. Lorsque plusieurs machines sont compromises (participant à l'attaque), tout le trafic d'envoi étant falsifié, il est très difficile de bloquer le trafic rapidement.

Défenses contre ces attaques

• Le filtrage routeur : Ajouter des filtres à son routeur est l'essentiel. Vous aurez besoin de mettre en oeuvre une ACL (liste de contrôle d'accès) qui bloque les adresses IP privées sur votre interface en aval. En outre, cette interface ne doit pas accepter les adresses avec votre gamme interne, la source ; cette faille est exploitée pour contourner les pare-feu. En amont sur l'interface, vous devriez limiter les adresses sources valides en dehors de votre fourchette, ce qui va empêcher quelqu'un de s'infiltrer sur votre réseau via envoi de paquets falsifiés.


• Chiffrement et authentification : La mise en oeuvre du chiffrement et de l'authentification permettra également de réduire les menaces de spoofing. Ces deux fonctionnalités sont inclues dans les adresses Ipv6, ce qui permettra d'éliminer plus de menaces. De plus, vous devez éliminer toute authentification d'hôte basée sur des mesures communes pour les machines situées sur le même sous-réseau. S'assurer que les mesures d'authentification soient en place et exécutées via un canal en connexion sécurisée (chiffrée).