ожна зробити двома способами. По-перше, хакер може скористатися IP-адресою, яка перебуває в межах діапазону санкціонованих IP-адрес, або вповноваженим зовнішнім адресою, якому дозволяється доступ до певних мережевих ресурсів. Атаки IP-спуфінга часто є відправною точкою для інших атак. Класичний приклад - атака DoS, яка починається з чужого адреси, що приховує справжню особистість хакера. Зазвичай IP-спуфинг обмежується вставкою помилкової інформації або шкідливих команд у звичайний потік даних, переданих між клієнтським і серверним додатком або по каналу зв'язку між однорангових пристроями. Для двостороннього зв'язку хакер повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилковий IP-адресу. Деякі хакери, проте, навіть не намагаються отримати відповідь від додатків. Якщо головне завдання полягає в отриманні від системи важливого файлу відповіді додатків не мають значення.
Якщо ж хакеру вдається поміняти таблиці маршрутизації і направити трафік на помилковий IP-адресу, хакер отримає всі пакети і зможе відповідати на них так, ніби він є санкціонованим користувачем.
Загрозу спуфинга можна послабити (але не усунути) за допомогою таких заходів:
· Контроль доступу - Найпростіший спосіб запобігання IP-спуфинга полягає в правильному налаштуванні управління доступом. Щоб знизити ефективність IP-спуфігна, налаштуйте контроль доступу на відсіч будь-якого трафіку, що надходить із зовнішньої мережі з вихідним адресою, який повинен розташовуватися усередині вашої мережі. Зауважимо, що це допомагає боротися з IP-Спуфінга, коли санкціонованими є тільки внутрішні адреси. Якщо санкціонованими є і деякі адреси зовнішньої мережі, даний метод стає неефективним.
· Фільтрація RFC +2827 - Ви можете припинити спроби спуфинга чужих мереж користувачами вашої мережі (і стати добропорядним мережевим громадянином ). Для цього необхідно бракувати будь вихідний трафік, вихідний адреса якого не є одним з IP-адрес вашої організації. Цей тип фільтрації, відомий під назвою RFC 2827 raquo ;, може виконувати і ваш провайдер (ISP). У результаті відбраковується весь трафік, який не має вихідного адреси, очікуваного на певному інтерфейсі. Приміром, якщо ISP надає з'єднання з IP-адресою 15.1.1.0/24, він може налаштувати фільтр таким чином, щоб з даного інтерфейсу на маршрутизатор ISP допускався тільки трафік, що надходить з адреси 15.1.1.0/24. Зауважимо, що до тих пір, поки всі провайдери не впровадять цей тип фільтрації, його ефективність буде набагато нижче можливою. Крім того, чим далі від фільтровану пристроїв, тим важче проводити точну фільтрацію. Так, наприклад, фільтрація RFC +2827 на рівні маршрутизатора доступу вимагає пропуску всього трафіку з головного мережевого адреси (10.0.0.0/8), тоді як на рівні розподілу (в даній архітектурі) можна обмежити трафік більш точно (адреса - 10.1.5.0/24 ) .Наиболее ефективний метод боротьби з IP-Спуфінга той же, що і у випадку зі сніффінгом пакетів: необхідно зробити атаку абсолютно неефективною. IP-спуфинг може функціонувати тільки за умови, що аутентифікація відбувається на базі IP-адрес. Тому впровадження додаткових методів аутентифікації робить цей вид атак марними. Кращим видом додаткової аутентифікації є криптографічний. Якщо вона неможлива, хороші результати може дати двухфакторная аутентифікація з використанням одноразових паролів.
Відмова в обслуговуванні (Denial of Service - DoS)
DoS, без всякого сумніву, є найбільш відомою формою хакерських атак. Крім того, проти атак такого типу найважче створити стовідсотковий захист. Навіть серед хакерів атаки DoS вважаються тривіальними, а їх застосування викликає зневажливі усмішки, бо для організації DoS потрібно мінімум знань і умінь. Тим не менш, саме простота реалізації і величезний заподіювану шкоду залучають до DoS пильну увагу адміністраторів, що відповідають за мережеву безпеку. Якщо ви хочете більше дізнатися про атаки DoS, вам слід розглянути їх найбільш відомі різновиди, а саме:
· TCP SYN Flood
· Ping of Death
· Tribe Flood Network (TFN) і Tribe Flood Network +2000 (TFN2K)
· Trinco
· Stacheldracht
· Trinity
Атаки DoS відрізняються від атак інших типів. Вони не націлені на отримання доступу до вашої мережі або на отримання цієї мережі будь-якої інформації. Атака DoS робить вашу мережу недоступною для звичайного використання за рахунок перевищення допустимих меж функціонування мережі, операційної системи або програми. У разі використання деяких серверних додатків (таких як Web-сервер або FTP-сервер) атаки DoS можуть полягати в тому, щоб зайняти всі сполуки, доступні для цих додатків і тримати їх в зайнятому стані, не допускаючи обслуговування звичайних користув...
