IPアドレスの詐欺を利用してファイアウォールを突破します。


一般的なアクセス制御は主にファイアウォールに設置され、一部のセキュリティポリシーを制定する。無防備エリア(非軍事エリアとも呼ばれる)は内部または外部のローカルエリアネットワークとすることができ、その中のリソースは外部ネットワークのユーザーが限度的に使用することができる。外部ユーザーが非軍事エリア(DMZエリア)のWEBサーバなどにアクセスできるようにする。ファイアウォールの技術を深く分析し、ファイアウォールの配置と実現の穴を利用して攻撃を行うことができます。通常、有効な攻撃は関連するサブネットから行われます。これらのサイトはファイアウォールの信頼を得ています。成功するかどうかはチャンスなど他の要素によって決まりますが、攻撃者にとっては試しがあります。ファイアウォールシステムを突破する最も一般的な方法はIPアドレスの詐欺であり、他の一連の攻撃方法の基礎でもある。この方法を使うのは、IP自体の欠点があるからです。IPプロトコルは、IPヘッダの宛先アドレスの項に基づいてIPパケットを送信する。宛先アドレスがローカルネットワーク内のアドレスであれば、そのIPパケットは宛先に直接送信される。宛先アドレスがローカルネットワーク内にない場合、このIPパケットはゲートウェイに送信され、ゲートウェイによってどこに送信されるかが決定される。これはIPルートのIPパケットの方法です。IPルーティングIPパケットは、IPヘッダに提供されるIPソースアドレスについては一切検査を行わず、IPヘッダにおけるIPソースアドレスは、当該パケットを送信するマシンのIPアドレスであると考えられる。このパケットを受信した目的のホストがソースホストと通信する場合、受信したIPパケットのIPヘッダのIPソースアドレスを送信するIPパケットの宛先アドレスとしてソースホストとデータ通信する。IPのこのようなデータ通信方式は非常に簡単で効率的ですが、IPの危険性でもあります。多くのサイバーセキュリティ事故はIPという欠点によって引き起こされます。ハッカーや侵入者が偽造したIP送信アドレスを利用して虚偽のデータパケットを作り、内部駅からのグループフィルターに変装するという攻撃は非常に危険です。関連するグループについては、本当に内部的なものなのか、それとも外部的なものなのかについては、内部のように見えます。システムが送信アドレスが自分の範囲内であることを発見すると、そのパケットを内部通信で扱い、通過させる。通常ホストAとホストBとのTCP接続(中間にファイアウォールがあるかないか)はホストAを介してホストBに要求して確立されるが、その間のAとBの確認はホストAによって生成され、ホストBによって検証される最初のシーケンス番号ISNだけに基づいている。具体的には三つのステップに分けます。ホストAはISNを生成し、ホストBに送信し、接続の確立を要求します。BはAからSYNマークのISNを受信した後、自分自身のISNを応答情報ACKと共にAに返信する。Aはまた、ISN及び応答情報ACKをBにBを送信する。これで正常にホストAとBのTCP接続が確立される。B------SYN-->A B<----SYN+ACK----A B----ACK-->AはCがAを攻撃しようとしたと仮定して、AとBは相互信頼しているので、CがAに信頼されているBを知ったら、Bのネットワーク機能を麻痺させ、他のものが自分の攻撃に干渉するのを防止します。ここでよく使われているのはSYN flookです。攻撃者は攻撃されるホストに多くのTCP-SYNパケットを送信します。これらのTCP-SYNパケットのソースアドレスは攻撃者がいるホストのIPアドレスではなく、攻撃者が自分で記入したIPアドレスです。攻撃されたホストが攻撃者から送信されたTCP-SYNパケットを受信すると、TCP接続に一定のリソースが割り当てられ、受信したパケットのソースアドレス(つまり、攻撃者自身が偽造したIPアドレス)を目的として、TCP-(SYN+ACK)応答パケットが宛先ホストに送信される。攻撃者自身が偽造したIPアドレスは必ず心を込めて選択した存在しないアドレスであるため、攻撃されたホストは永遠にそれが送信したTCP-(SYN+ACK)パケットの応答パケットを受け取ることができないので、ホストを攻撃されるTCP状態機会は待機状態にある。攻撃されたホストのTCP状態機がタイムアウト制御された場合、タイムアウトまでは、その接続に割り当てられたリソースが回収されます。したがって、攻撃者が攻撃されたホストに十分なTCP−SYNパケットを送信すると、攻撃されたホストのTCPモジュールは、新しいTCP接続のためにシステムリソースに割り当てられないので、サービス拒否状態になるに違いない。また、攻撃されたホストのネットワークの管理者が攻撃者のパケットを傍受しても、IPヘッダのソースアドレス情報に基づいて攻撃者が誰かを判定することはできない。Bのネットワーク機能が一時的にマヒした場合、CはAの現在のISNを確認するように工夫しなければならない。まず25ポートに接続します。SMTPはセキュリティチェック機構がないので、前と似ていますが、今回はAのISNとCからAまでのおおよそのRTTを記録する必要があります。このステップは、RTTの平均値を求めるために何度も繰り返します。CがAのISN基の値と増加則を知ると、CからAまでRTT/2が必要となる時間を計算することができる。すぐに攻撃に入ります。そうでなければ、この間に他のホストとAが接続されています。ISNは予想より多いです。CはSYNマークのあるデータセグメントをAに送信して接続を要求しますが、ソースIPがBに変更されました。AはSYN+ACKデータセグメントをBにフィードバックし、Bはすでに応答できなくなりました。BのTCP層はAの返送データセグメントを簡単に廃棄するだけです。この時Cはしばらく停止して、AにSYN+ACKを送信する時間が足ります。Cはこのカバンが見えないからです。そして、Cは再びBを装ってAにACKを送信し、このとき送信されるデータセグメントはZ予測のAのISN+1を有する。予測が正確であれば、接続が確立され、データ転送が開始されます。問題は、接続が確立されても、AはCではなくBにデータを送信します。CはまだAからBに送られたデータの部分が見えません。Cは頭を隠して契約基準に従ってBを偽ってAにコマンドを送信しなければなりません。予測が正確でない場合、AはRSTマークの付いたデータセグメントを送信して接続を異常終了します。Cは最初からやり直すしかありません。予測されたISNを修正することによって、攻撃者は最終的にターゲットホストと会談をすることになる。このようにして、攻撃者は適法なユーザとしてターゲットホストに登録し、さらなる確認を必要としない。試行を繰り返すことで、対象ホストがネットワークへのROOT登録を受信できるようになると、ネットワーク全体を完全に制御することができる。C(B)----SYN-->A B<----SYN+ACK----A C(B)----ACK-->A C(B)----PSH-->A IP詐欺攻撃は、RPCサーバがソースIPアドレスだけに依存してセキュリティチェックを行う特性を利用しており、攻撃が最も困難なのは予測AのISNである。攻撃は難しいですが、成功する可能性も高いです。Cは、AからBに送られるかもしれない情報と、AがBからのどんな応答情報を期待するかを正確に予見しなければならない。これは攻撃者がプロトコル自体にかなり詳しいことを要求する。同時に、このような攻撃は相互作用のもとでは完成できないので、プログラムを書いて完成しなければならないということを理解する必要があります。もちろん準備段階ではnetxrayなどのツールで協議分析ができます。IP詐欺攻撃はかなり難しいですが、このような攻撃は非常に広く、ここから侵入することが多いということを冷静に認識すべきです。この攻撃を防ぐのは簡単です。IP自体の欠陥による安全上の潜在的なリスクは、今は根本的には解消されない。私たちはいくつかの補填措置を取って、被害を最小限に抑えるしかないです。このような攻撃を防ぐための最も理想的な方法は、LANに接続するゲートウェイまたはルータごとに、外部のIPパケットがLANに入ることができるかどうかを決める前に、外部からのIPパケットを検査することです。IPパケットのIPソースアドレスが、ローカルネットワーク内のIPアドレスである場合、このIPパケットはゲートウェイまたはルータによって拒否され、ローカルネットワークに入ることができません。この方法は問題をうまく解決することができますが、自分で発行したパケットを太ネットカードで受信することを考慮して、実際のアプリケーションでは、LANとLANの間でも、資源を共有するために相互の信頼関係が必要となることがよくあります。もう一つは、このような攻撃を防ぐためのより理想的な方法として、IPデータがローカルネットワークを包んだときに、IPソースアドレスを検証することである。つまり、ローカルネットワークを接続する各ゲートウェイまたはルータは、ローカルネットワーク内部のIPパケットがローカルネットワークを発行することを許可するかどうかを決定する前に、まず、このIPパケットからのIPソースアドレスを検証する。IPパケットのIPソースアドレスがローカルネットワーク内部のIPアドレスでない場合、このIPパケットはゲートウェイまたはルータによって拒否され、このパケットがLANから離れることができない。このようにして、攻撃者は少なくともその所在するローカルネットワーク内のIPアドレスを使用してこそ、当該ローカルネットワークに接続されたゲートウェイまたはルータを通過することができる。攻撃者が攻撃する場合、IPパケットのIPソースアドレスによって誰が攻撃したのかを見つけやすくなります。したがって、各ISPまたはローカルネットワークのゲートウェイルータは、IPパケットのIPソースアドレスのチェックとフィルタリングを行うことを提案する。各ゲートウェイのルータがこの点を達成したら、IPソースアドレスの詐欺は基本的には効果を発揮できなくなります。現在はゲートウェイやルータごとにこのようなことができるわけではない場合、ネットワークシステム員は自分が管理するネットワークをできるだけ厳密に監視し、可能な攻撃に備えるしかない。