18-09-2014, 20:30
Spoofing (czyli z angielskiego: podszywanie się) jest jedną z najbardziej niebezpiecznych technik włamań. Bardzo ogólnie można powiedzieć, że polega ona no na wysłaniu datagramów IP z niepoprawnym adresem źródłowym, przez co komputer je odbierający błędnie identyfikuje ich nadawcę. W większości przypadków jest to wykorzystywane do podszywania się pod przykładowo - stronę internetową banku, w którym mamy założone nasze konto. Agresor może podszywać się, korzystając z różnych warstw modelu sieciowego i z różnych mechanizmów, jednak wszystkie prowadzą do sytuacji, że komunikujemy się z kimś innym niż chcielibyśmy. Metody te są tak bardzo niebezpieczne ze względu na możliwość niezauważonej modyfikacji danych w przejętym przez crackera połączeniu. Cechą wspólną podszywania się jest konieczność unieszkodliwienia stacji, z którą chcemy się połączyć, tak aby pakiety przez nią generowane nie przeszkadzały w pracy włamywacza. Dokonuje się tego różnymi metodami, począwszy od fizycznych ataków, poprzez np. wyłączenie prądu (w naszej sieci lokalnej), odcięcia od sieci poprzez uszkodzenie (zmianę konfiguracji) urządzenia sieciowego, z którego stacja ta korzysta, na ataku DoS kończąc.
Metodą wykorzystującą podszywanie się w najniższej warstwie dostępu do sieci modelu TCP/IP jest arp-spoofing. Nie ma prostej metody zabezpieczenia przed arp-spoofingiem w sieci lokalnej. Najprostszą jest używanie statycznej tablicy ARP, niestety nie jest to możliwe do zastosowania w normalnych warunkach, a poza tym niektóre popularne systemy nawet po wprowadzeniu statycznej tablicy ARP są wrażliwe na arp-spoofing.
Spoofing na poziomie warstwy transportowej polega na przejmowaniu sesji protokołu TCP, najczęściej oczywiście pomiędzy klientem a serwerem. Istnieje również spoofing nazw DNS. Jeśli agresorowi udało się opanować serwer DNS, może zmienić jego oprogramowanie, tak, aby podawało odpowiadające mu mapowanie nazw na adresy IP. W ten sposób może skierować klientów zamiast na stronę WWW banku, na wcześniej spreparowaną i przygotowaną przez siebie stronę. Jeżeli został opanowany prywatny DNS, może oszukiwać użytkowników sieci lokalnej w której jesteś. Jeżeli włamywacz opanował serwer DNS banku, może oszukiwać wszystkich jego klientów, przejąć kontrolę nad ich kontami za pomocą spreparowanych stron internetowych i okraść ich z pieniędzy. Jak zatem widzimy, działający i bezpieczny serwer DNS jest niezwykle ważny.
Metodą wykorzystującą podszywanie się w najniższej warstwie dostępu do sieci modelu TCP/IP jest arp-spoofing. Nie ma prostej metody zabezpieczenia przed arp-spoofingiem w sieci lokalnej. Najprostszą jest używanie statycznej tablicy ARP, niestety nie jest to możliwe do zastosowania w normalnych warunkach, a poza tym niektóre popularne systemy nawet po wprowadzeniu statycznej tablicy ARP są wrażliwe na arp-spoofing.
Spoofing na poziomie warstwy transportowej polega na przejmowaniu sesji protokołu TCP, najczęściej oczywiście pomiędzy klientem a serwerem. Istnieje również spoofing nazw DNS. Jeśli agresorowi udało się opanować serwer DNS, może zmienić jego oprogramowanie, tak, aby podawało odpowiadające mu mapowanie nazw na adresy IP. W ten sposób może skierować klientów zamiast na stronę WWW banku, na wcześniej spreparowaną i przygotowaną przez siebie stronę. Jeżeli został opanowany prywatny DNS, może oszukiwać użytkowników sieci lokalnej w której jesteś. Jeżeli włamywacz opanował serwer DNS banku, może oszukiwać wszystkich jego klientów, przejąć kontrolę nad ich kontami za pomocą spreparowanych stron internetowych i okraść ich z pieniędzy. Jak zatem widzimy, działający i bezpieczny serwer DNS jest niezwykle ważny.