Spoofing oznacza podszywanie się pod inną maszynę w sieci. Może wystąpić na różnych poziomach komunikacji: - sprzetowej zmiana przypisanego do karty MAC adresu jęzeli weryfikacja dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep - ARP spoofing ARP (Address Resolution Protocol). Jest to protokół odopowiedzialny za tłumaczenie adresu IP na adresy sprzętowe. Adresy IP maszyn oraz skojarzone z nimi adresy sprzętowe są przechowywane w buforze (cache) ARP kazdego hosta. Kiedy datagram jest przesyłany przez sieć, sprawdzana jest zawartość bufora ARP i, jeżeli istnieje tam wpis odpowiadający adresowi docelowego miejsca, gdzie ma dotrzeć datagram, nie ma potrzeby wysyłania zapytania ARP. Wpis może być dokonany przez generowanie fałszywych ARP Reply (ze względu na bezstanowość protokołu ARP w wielu systemach operacyjnych host przyjmuje odpowiedź bez względu na to czy była poprzedzona zapytaniem)
Zapisy w buforze ulegają przeterminowaniu po kilku minutach od ich stworzenia. Kiedy wpis ARP o danym hoście wygaśnie, wysyłane jest zapytanie ARP. Jeżeli komputer będzie wyłączony, zapytanie zostanie bez odpowiedzi. Zanim jednak wpis zostanie przeterminowany, datagramy są wysyłane, lecz nie odbierane. Klasycznym przykładem spoofingu ARP jest zmiana adresu IP na adres maszyny wyłączonej. Włamywacz może zorientować się, jaka maszyna w sieci jest wyłączona, lub samemu ją wyłączyć. Wtedy zmieniając konfigurację swojej maszyny może on skonfigurować ją tak, aby wskazywała IP odłączonej maszyny. Kiedy ponownie zostanie wysłane zapytanie ARP, jego system odpowie na nie, przesyłąjąc nowy adres sprzętowy, który zostanie skojarzony z adresem IP wyłączonej maszyny. Jeżeli jakieś usługi w sieci były udostępniane na podstawie zaufania według danych wskazywanych przez ARP, będą one dostępne dla osoby niepowołanej.
Atak za pomocą spoofingu ARP jest również możliwy w przypadku, kiedy istnieją w sieci maszyny o dwóch takich samych adresach IP. Tak sytuacje powinna być niedopuszczalna, jednak często wystepuje takie zjawisko. Kiedy jest wysyłane zapytanie ARP każdy z hostów o danym IP odpowie na nie. W zależności od systemu albo pierwsza albo ostatnia odpowiedź zostanie umieszczona w buforze. Niektóre systemy wykrywają taką sytuację i jest to oznaka możliwości wystąpienia spoofingu. Często włamywacz dokonuje zmiany adresu ARP dla gateway-a. Polega na wysłaniu wysłaniu zapytania ARP ze sfałszowanym powiązaniem MAC-IP. Jeśli zapytanie będzie zawierało przypisanie adresu IP lokalnej bramki (routera) do adresu MAC komputera podszywającego się, to w zależności od tego, czy pakiet został wysłany na adres rozgłoszeniowy, czy też skierowany do pojedynczego komputera, wszystkie pakiety wysyłane w świat z całej sieci przechodzić będą przez podszywający się komputer. Aby nie zablokować całego ruchu i nie wzbudzać podejrzeń, komputer podszywający się może przekierowywać cały ruch do routera. Ponieważ hosty pamiętają odwzorowania MAC-IP w pamięci podręcznej, stan taki trwać będzie aż do przeterminowania wpisu bądź do wysłania nowego zapytania ARP zawierającego poprawne powiązanie MAC-IP bramki. Technika ta nazywana jest przekierowywaniem routera (router re-direction).
Aby bronić się przed spoofingiem ARP, stosuje się wpisy permanentne w ARP cachu używanej maszyny w przypadku hostów o szczególnym znaczeniu. ARP spoofing jest wykorzystywany jako metoda przeciwdziałania fragmentacji sieci switchami w celu ograniczenia sniffing -u. Przeciążenie przełącznika Niektóre przełączniki zalane potokiem ramek z losowymi, nieistniejącymi w sieci adresami MAC przechodzą w tryb powtarzania i zaczynają pracować jak zwykłe koncentratory. Dzieje się tak z powodu przepełnienia tablicy do odwzorowania adresów MAC na porty przełącznika. Większość przełączników ma jednak specjalne funkcje zabezpieczające przed takimi atakami. Jedną z nich jest ograniczenie liczby adresów MAC, które przełącznik przypisać może do określonego portu. ARP spoofing jest problemem sieci lokalnej.
- IP spoofing Podszywanie się pod adres IP w celu uzyskania nieuprawnionego dostepu lub zablokowania usługi w atakach typu DoS. Może mieć postać podszywania się pod nie działający w danym momencie host i przejecie jesgo adresu (w obrębie tej samej sieci) lub polegać na generowaniu pakietów z fałszywym adresem IP. Atak korzysta z faktu że w czasie przekazywania pakietu routery opierają sie jedynie na adresie docelowym. adres źródłowy jest wykorzystywany tylko przez host końcowy w celu wygenerowania odpowiedzi. Ataki te dotyczą najczęściej usług, gdzie komunikacja nie wymaga odpowiedzi np. polega na dostarczaniu informacji lub mają charakter ataków DoS.
Zabezpieczenia: - wyłaczenie autoryzacji na podstawie adresów IP (wszelkiego rodzaju komend r*, plików rhosts) -filtrowanie informacji na routerze dla ruchu wychodzącego i wchodzącego Ataki DoS (DDos więcej niz 2 hosty biorą udział w ataku) używające IP spoofing-u: - Smurf attack - TCP SYN flood
Smurf attack jest przykładem ataku DDoS, który pozwala atakujacemu o niewielkiem mocy unieruchmic duzo potężniejszy host.
Atak ten przebiega według schematu: Elementy: - atakujący - ofiara - sieć wzmacniająca Sieć wzmacniajaca wpuszcza pakiety których adres docelowy jest broad castem i zamienia je na broadcast 2 poziomu. Atakujący generuje pakiet ICMP Echo Request z adresem źródłowym ofiary i adresem docelowym broad astem sieci wzmacniajacej
Pakiet jest wpuszczany do sieci wzmacniajacej i dystrybuowany do wszystkich komputerów, które generują odpowiedź do hosta ofiary. Zapobieganie: - bycia źródłem ataku filtrowanie wychodzących pakietów po adresie źródłowym - bycia ofiarą filtrowanie w ruchu wchodzącym pakietów ICMP (groźba znacznego obciążenia serwera) - bycia elementem wzmacniającym filtrowanie broadcastów Smurf Amplifier Registry (SAR) http://www.powertech.no/smurf/ Current top ten smurf amplifiers (updated every 5 minutes) (last update: 2003-03-31 22:06:15 CET) Network #Dups #Incidents 212.1.130.0/24 38 0 209.241.162.0/24 27 0 204.158.83.0/24 27 0