क्या आईपी पते "जाली बनाने के लिए" हैं?

मैं Google की नई सार्वजनिक DNS सेवा के कुछ नोट्स पढ़ रहा था :

• प्रदर्शन लाभ
• सुरक्षा लाभ

मैंने इस अनुच्छेद के सुरक्षा खंड के तहत देखा:

जब तक डीएनएसएसएसईसी 2 प्रोटोकॉल के रूप में डीएनएस कमजोरियों का एक मानक सिस्टम-वाइड समाधान सार्वभौमिक रूप से लागू नहीं किया जाता है, तब तक खुले डीएनएस रिज़ॉल्वर को ज्ञात खतरों के खिलाफ कम करने के लिए स्वतंत्र रूप से कुछ उपाय करने की आवश्यकता होती है। कई तकनीकों का प्रस्ताव किया गया है; IETF RFC 4542 देखें : उनमें से अधिकांश के अवलोकन के लिए जाली जवाबों के मुकाबले DNS को अधिक लचीला बनाने के उपाय । Google सार्वजनिक DNS में, हमने लागू किया है, और हम अनुशंसा करते हैं, निम्नलिखित दृष्टिकोण:

• मशीन के संसाधनों को ओवरप्रोविजन करने से रिसोल्वर पर सीधे DoS के हमलों से बचाव होता है। चूंकि आईपी पते हमलावरों को जाली बनाने के लिए तुच्छ हैं, इसलिए आईपी पते या सबनेट के आधार पर प्रश्नों को ब्लॉक करना असंभव है; इस तरह के हमलों को संभालने का एकमात्र प्रभावी तरीका केवल लोड को अवशोषित करना है।

वह एक निराशाजनक अहसास है; यहां तक ​​कि स्टैक ओवरफ्लो / सर्वर फॉल्ट / सुपर उपयोगकर्ता पर, हम अक्सर सभी प्रकार के प्रतिबंध और ब्लॉक के आधार के रूप में आईपी पते का उपयोग करते हैं।

यह सोचने के लिए कि एक "प्रतिभाशाली" हमलावर तुच्छ रूप से जो भी आईपी पते का उपयोग करना चाहता है, कर सकता है और जितने चाहें उतने अद्वितीय नकली आईपी पते का संश्लेषण करता है, वास्तव में डरावना है!

इसलिए मेरा प्रश्न:

• यह वास्तव में है कि एक हमलावर जंगली में एक आईपी पता बनाने के लिए के लिए आसान है?
• यदि हां, तो क्या समास संभव है?

जैसा कि कई अन्य लोगों द्वारा कहा गया है, आईपी हेडर जाली बनाने के लिए तुच्छ हैं, जब तक कोई प्रतिक्रिया प्राप्त करने के बारे में परवाह नहीं करता है। यही कारण है कि यह ज्यादातर यूडीपी के साथ देखा जाता है, क्योंकि टीसीपी को 3-तरफ़ा हैंडशेक की आवश्यकता होती है। एक उल्लेखनीय अपवाद SYN बाढ़ है , जो टीसीपी का उपयोग करता है और एक प्राप्त मेजबान पर संसाधनों को टाई करने का प्रयास करता है; फिर से, जैसा कि उत्तरों को छोड़ दिया जाता है, स्रोत का पता मायने नहीं रखता है।

स्रोत पते को बिगाड़ने के लिए हमलावरों की क्षमता का एक विशेष रूप से बुरा पक्ष-प्रभाव एक बैकस्कैटर हमला है। यहाँ एक उत्कृष्ट वर्णन है , लेकिन संक्षेप में, यह एक पारंपरिक DDoS हमले का विलोम है:

1. एक बॉटनेट का नियंत्रण प्राप्त करें।
2. दुर्भावनापूर्ण पैकेट के लिए समान स्रोत IP पते का उपयोग करने के लिए अपने सभी नोड्स को कॉन्फ़िगर करें । यह IP पता आपका अंतिम शिकार होगा।
3. अपने सभी नियंत्रित नोड्स से पैकेटों को इंटरनेट के विभिन्न पतों पर भेजें, उन बंदरगाहों को लक्षित करें जो आमतौर पर खुले नहीं होते हैं, या पहले से मौजूद लेनदेन का हिस्सा होने का दावा करते हुए वैध पोर्ट (टीसीपी / 80) से जुड़ते हैं।

(3) में उल्लिखित मामलों में से, कई होस्ट दुर्भावनापूर्ण पैकेट के स्रोत पते पर लक्षित एक ICMP अगम्य या टीसीपी रीसेट के साथ जवाब देंगे । हमलावर के पास अब नेटवर्क पर हजारों असंबद्ध मशीनें हैं, जो अपने चुने हुए शिकार पर एक डीडीओएस हमले का प्रदर्शन कर रही हैं, सभी एक स्पूफ स्रोत आईपी पते के उपयोग के माध्यम से।

शमन के संदर्भ में, यह जोखिम वास्तव में एक है जो केवल आईएसपी (और विशेष रूप से आईएसपी ग्राहक पहुंच प्रदान करता है, बजाय पारगमन) संबोधित कर सकता है। ऐसा करने के दो मुख्य तरीके हैं:

1. इनग्रेडिंग फ़िल्टरिंग - आपके नेटवर्क में आने वाले पैकेट्स को एड्रेस रेंज से सोर्स किया जाता है जो आने वाले इंटरफेस के सबसे दूर रहते हैं। कई राउटर विक्रेता यूनिकस्ट रिवर्स पाथ फ़ॉरवर्डिंग जैसी सुविधाओं को लागू करते हैं, जो राउटर के रूटिंग और फ़ॉरवर्डिंग टेबल्स का उपयोग करके यह सत्यापित करते हैं कि आने वाले पैकेट के स्रोत पते का अगला हॉप आने वाला इंटरफ़ेस है। यह नेटवर्क में पहली परत 3 हॉप (यानी आपका डिफ़ॉल्ट गेटवे) पर सबसे अच्छा प्रदर्शन किया जाता है।

2. इज़रेशन फ़िल्टरिंग - यह सुनिश्चित करना कि आपके नेटवर्क को केवल पते से स्रोत छोड़ने वाले पैकेट आपके पास हैं। यह फ़िल्टरिंग को दबाने के लिए प्राकृतिक पूरक है, और अनिवार्य रूप से एक 'अच्छा पड़ोसी' होने का हिस्सा है; यह सुनिश्चित करना कि भले ही आपका नेटवर्क दुर्भावनापूर्ण ट्रैफ़िक से समझौता किया गया हो, उस ट्रैफ़िक को आपके द्वारा सहकर्मी नेटवर्क के लिए अग्रेषित नहीं किया गया है।

इन दोनों तकनीकों को सबसे प्रभावी और आसानी से लागू किया जाता है जब or बढ़त ’या networks एक्सेस’ नेटवर्क में ऐसा किया जाता है, जहां क्लाइंट प्रदाता के साथ इंटरफेस करते हैं। कई रास्तों और असममित मार्ग की जटिलताओं के कारण एक्सेस लेयर के ऊपर इंग्रेसिंग / इग्रेशन फ़िल्टरिंग को लागू करना अधिक कठिन हो जाता है।

मैंने इन तकनीकों को देखा है (विशेषकर फ़िल्टरिंग को) एक उद्यम नेटवर्क के भीतर बहुत प्रभाव डाला। शायद अधिक सेवा प्रदाता अनुभव वाला कोई व्यक्ति बड़े पैमाने पर इंटरनेट पर इनग्रेसिंग / इग्रेशन फ़िल्टरिंग की तैनाती की चुनौतियों के बारे में अधिक जानकारी दे सकता है। मैं कल्पना करता हूं कि हार्डवेयर / फर्मवेयर समर्थन एक बड़ी चुनौती है, साथ ही साथ अन्य देशों में अपस्ट्रीम प्रदाताओं को मजबूर करने में असमर्थ होने के कारण समान नीतियां लागू करने के लिए ...

क्या वास्तव में किसी हमलावर के लिए जंगल में आईपी एड्रेस बनाना आसान है?

ज़रूर, अगर मुझे वास्तव में कोई प्रतिक्रिया प्राप्त करने के बारे में परवाह नहीं है, तो मैं बहुत आसानी से किसी भी स्रोत पते का उपयोग करके पैकेट भेज सकता हूं जो मुझे पसंद है। चूंकि कई आईएसपी में वास्तव में अच्छे नियम नहीं होते हैं, इसलिए मैं जो कुछ भी करता हूं, वह आमतौर पर वितरित किया जाएगा।

यदि हमलावर को वास्तव में दो तरह के संचार की आवश्यकता होती है तो यह बहुत मुश्किल हो जाता है। यदि उन्हें दो तरह के संचार की आवश्यकता होती है, तो यह किसी प्रकार के प्रॉक्सी का उपयोग करना आसान हो जाता है। जिसे स्थापित करना बहुत आसान है यदि आप जानते हैं कि आप क्या कर रहे हैं।

IP पते द्वारा लोगों को प्रतिबंधित करना SF / SO / SU पर मामूली प्रभावी है क्योंकि साइट http / https का उपयोग करती है जिसके लिए दो तरह से संचार की आवश्यकता होती है।

ज़ोर्डेक के उत्तर के लिए अवधारणा का छोटा सा प्रमाण (उबंटू के साथ):

$ sudo apt-get install hping3
$ sudo hping3 -1 --spoof 11.10.10.20 www.google.com
HPING www.google.com (eth0 64.233.169.105): icmp mode set, 28 headers + 0 data bytes

फिर दूसरे कंसोल में:

$ sudo tcpdump -i eth0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:30:19.439737 IP 11.10.10.20 > yo-in-f105.1e100.net: ICMP echo request, id 31297, seq 0, length 8

तो हाँ, तुच्छ, लेकिन तब आपको पहले बताए गए उत्तर नहीं मिलते हैं जब तक कि आपके पास 11.10.10.20 तक पहुंच न हो या www.google.com और 11.10.10.20 के बीच कहीं भी एक स्निफ़र हो (और इसे ठीक सामने रखना होगा दोनों में से कोई भी, चूंकि आप पैकेट के मार्ग का अनुमान नहीं लगा सकते हैं)। इसके अलावा, स्पूफर्स गेटवे (आईएसपी) उस पैकेट को दरवाजे से बाहर नहीं जाने दे सकता है यदि उनके पास किसी प्रकार का आईपी निरीक्षण हो रहा है और देखें कि स्रोत से बदबू आ रही है।

एक-दिशात्मक यूडीपी यातायात के लिए आईपी पते बनाना आसान है । टीसीपी पैकेट के लिए, आप केवल SYN पैकेट के साथ आधा-खुला टीसीपी कनेक्शन प्राप्त करने के लिए फोर्ज कर सकते हैं। यह एक तरह के DOS हमले का भी आधार है। लेकिन यदि आप एक ही आईपी पते का उपयोग करने के लिए सत्रों को फ़िल्टर कर रहे हैं, तो आप एक स्पूफ किए गए पते के साथ HTTP कनेक्शन नहीं बना सकते हैं। हाँ, आप पैकेट में एक IP पता खराब कर सकते हैं, यह केवल कुछ प्रकार के सेवा हमलों से इनकार करने के लिए उपयोगी है।

GOOG लेख में DNS पर स्पष्ट रूप से चर्चा की गई थी। DNS UDP और TCP पैकेट दोनों का उपयोग करता है। यूडीपी वाले जाली हो सकते हैं, लेकिन टीसीपी नहीं। टीसीपी को 3 तरह से हैंडशेक की आवश्यकता होती है । यदि टीसीपी पैकेट के लिए आईपी पता जाली है तो फोर्जिंग कंप्यूटर को प्रतिक्रिया नहीं मिलेगी और कनेक्शन विफल हो जाएगा। यूडीपी, जैसा कि अन्य उत्तरों में बताया गया है, 'आग और भूल' है और इसके लिए किसी प्रतिक्रिया संचार की आवश्यकता नहीं है। DoS हमले इस कारण से लगभग विशेष रूप से UDP पैकेट के रूप में आते हैं।

स्टैक ओवरफ्लो और पारिवारिक साइटों के संदर्भ में, ताकुन डिकॉन द्वारा उठाया गया मुद्दा बहुत वैध है। किसी के ISP से नया IP पता प्राप्त करने के कई तरीके हैं। मैक पते को बदलना स्पष्ट रूप से सबसे आसान है और कई आईएसपी के लिए काम करता है। इसके अलावा, बहुत से लोग जो निष्ठा तक हैं, वे सार्वजनिक प्रॉक्सी या टीओआर का उपयोग कर सकते हैं। उन पैकेटों के लिए स्पष्ट रूप से उत्पत्ति आईपी को अवरुद्ध करना सिर्फ प्रॉक्सी या टीओआर समाप्ति शब्द को अवरुद्ध करेगा।

तो क्या IP पतों को ब्लॉक करना वैध है? नरक हाँ यह है। लेकिन आप त्रुटियों को समाप्त करेंगे। आप कुछ ऐसे IP को ब्लॉक करेंगे जो वास्तव में समस्या का स्रोत नहीं हैं (यानी प्रॉक्सी) और आपके पास ऐसे लोग भी होंगे जो IP को बदलकर आपके ब्लॉक से बचेंगे। जो व्यक्ति बाद में प्रतिबंधित आईपी प्राप्त करने के लिए अशुभ है, वह साइटों के एसओ परिवार तक नहीं पहुंच पाएगा। लेकिन त्रुटि दर छोटी होनी चाहिए। जब तक आप आईपी के विशाल सेट को ब्लॉक नहीं कर रहे हैं। लेकिन अगर आप एक या दो दिन रोक रहे हैं, तो आपको ठीक होना चाहिए।

आप एक और अधिक परिष्कृत योजना शुरू करना चाहते हैं जहाँ आप ब्लॉक करते हैं, लेकिन केवल एक अवधि के लिए, एक वर्ष की तरह। यदि आपका नेटवर्क बैंडविड्थ थ्रॉटलिंग या कनेक्शन को सीमित करने में सक्षम है, तो आप एक योजना पर भी विचार कर सकते हैं, जहां आपकी साइट पर अपाचे बेंचमार्क चलाने वाले डची बैग बहुत सीमित बैंडविड्थ के साथ पिंजरे में रखे जाते हैं।

आईपी ​​स्पूफिंग जारी रहेगा क्योंकि आईएसपी आलसी हैं।

मेरे आईएसपी को अच्छी तरह पता है कि मैं एक विशिष्ट पते पर हूं, या कम से कम सबनेट मैं हूं। फिर भी मैं किसी भी स्रोत पते का उपयोग कर सकता हूं। ऐसा क्यों है? बस, लागत।

अगर मैं यहां और वहां कुछ पते नकली करता हूं, तो यह मेरी आईएसपी की कीमत है। अगर मेरे ISP के प्रत्येक उपयोगकर्ता ने 1:00 और 2:00 के बीच एक पैकेट फेक दिया है, तो भी यह रडार पर शायद ही होगा। हालांकि, जब एक बोटनेट कई होस्ट से कई आईएसओ पर कई खराब पैकेट भेजता है, तो लक्ष्य मशीन या नेटवर्क खत्म हो जाता है।

वित्तीय वास्तविकता यह है कि जब तक आप पर हमला नहीं किया जाता है, तब तक स्पूफिंग में कुछ भी खर्च नहीं होता है। ग्राहक के पास फ़िल्टरिंग को लागू करने के लिए पैसे खर्च होते हैं, और पैसा खर्च करने वाले को पता चलता है कि वे अच्छे नेटवर्क के नागरिक हैं।

यूडीपी और आईसीएमपी नकली के लिए सबसे आसान है, लेकिन टीसीपी भी संभव है। इसके लिए असुरक्षित रिमोट ओएस की आवश्यकता होती है, जो शोषण करने के लिए पूर्वानुमान योग्य क्रम संख्याओं का उपयोग करता है। कभी-कभी यह लोड बैलेंसिंग मशीन होती है जो अनुक्रम संख्या को बदल देती है और उन्हें पूर्वानुमानित करती है। तो, टीसीपी संभव है - लेकिन कठिन।

डीएनएस एंटी-स्पूफिंग ज्यादातर सुरक्षा पक्ष पर ध्यान केंद्रित करता है ताकि किसी व्यक्ति को पुनरावर्ती रिवाल्वर का गलत जवाब देने से रोका जा सके। यूडीपी के बाढ़ के पहलू एक छोटी सी क्वेरी के अलावा डीएनएस विशिष्ट नहीं हैं (जैसे, '।') एक बड़ी प्रतिक्रिया के कारण होगा। इस प्रकार, यह एक अच्छा प्रवर्धन वेक्टर बनाता है। उस काम के दौरान कई अन्य यूडीपी प्रोटोकॉल हैं, लेकिन डीएनएस हर जगह उपयोग में है, और हमलों को बढ़ाने के लिए मशीनों का उपयोग करना आसान है।

DNSSEC इसे और भी बदतर बनाता है, UDP पैकेट के साथ जो आकार में 4k तक पहुंच सकता है।

जहाँ तक आम तौर पर आग लगाने और यूडीपी पैकेटों को भूल जाने का मामला है, तब तक आईपी पते डीएनएस-आधारित (डी) डॉस हमलों के रूप में बनाने के लिए तुच्छ हैं। HTTP ट्रैफ़िक के लिए, यह बात नहीं है, इसलिए आपको या तो उसी स्थानीय नेटवर्क पर रहना होगा जो वेब सर्वर (पूरी तरह से संभव है, जहां आपकी साइट होस्ट की गई है) के आधार पर, या मध्यवर्ती राउटर को नियंत्रित करता है।

आप किसी को भी एक पत्र भेज सकते हैं, और यदि आप लिफाफे पर रिटर्न एड्रेस नहीं डालते हैं (या गलत तरीके से डालते हैं), तो वे दुनिया के सभी जंक मेल फ़िल्टरर्स को किराए पर ले सकते हैं और बिना खुलने के आपके संदेश को फ़िल्टर नहीं कर सकते (प्रसंस्करण) ) यह।

हालाँकि, यदि प्रेषक प्रतिक्रिया चाहता है, तो रिटर्न एड्रेस बेहतर होना चाहिए, या सही एड्रेस प्राप्त करने के लिए एप्लिकेशन लेयर मैकेनिज्म होना चाहिए। इसलिए मैं आपको लगता है कि आप नाना से एक पत्र खोल रहे हैं, लेकिन भले ही मैंने आपको पत्र की सामग्री के साथ बेवकूफ बनाया हो, आप नाना को नाइजीरिया में कुछ पते पर CASH के लिए किया गया चेक नहीं भेजेंगे (जब तक कि नाना नाइजीरियाई नहीं हैं )। इसलिए चुनौती / प्रतिक्रिया एक प्रभावी बचाव है जब तक कि आप भी मैनडेड नहीं हैं।

मैं किसी भी स्रोत आईपी पते को सेट कर सकता हूं जो मैं एक आरेख में चाहता हूं।
क्या मेरा आईएसपी ऐसे पैकेट को जंगल में जाने देगा या नहीं, यह एक और सवाल है।

हालांकि यह निश्चित रूप से एक वास्तविकता है जिससे निपटने की आवश्यकता है, अंतर्निहित समस्या वास्तव में गैर-तकनीकी है: दुर्भावनापूर्ण इरादे वाले लोग दुर्भावनापूर्ण चीजें करने की कोशिश कर रहे हैं। इसलिए वास्तविक समाधान गैर-तकनीकी होना चाहिए।

मुझे लगता है कि स्टैकओवरफ़्लो ने जो किया है, वह रक्षा की दूसरी पंक्ति को संभालने के लिए सही समाधान है: कुछ हद तक 'विश्वसनीयता' हासिल करने से पहले मंच के साथ बातचीत करने के लिए अपनी क्षमताओं को सीमित करने के विभिन्न तरीकों के माध्यम से संभावित स्पैम उपयोगकर्ताओं को प्रतिबंधित करने की तकनीक।

न केवल इन तकनीकों से साइट की समग्र गुणवत्ता में सुधार करने में मदद मिलती है, वे वास्तव में उपयोगकर्ताओं को अधिक शामिल होने और अधिक विश्वसनीय / विश्वसनीय उत्तर प्रदान करने के लिए प्रोत्साहित करते हैं।

तकनीकी दृष्टिकोण से, तब सबसे अच्छी बात यह होगी कि Google सुझाव देगा: बस अतिरिक्त भार को अवशोषित / निपटने में कुशल होना चाहिए।

महान काम और सुधार जारी रखें!

यूडीपी इसका मुख्य भाग है कि यह आसान क्यों है - वास्तव में, स्काइप और स्लिंगबॉक्स यूडीपी में आईपी पते को आसानी से जाली बनाने की क्षमता का फायदा उठाते हैं और एनएटी के माध्यम से ' पंच ’ करने की अनुमति देते हैं।

टीसीपी कठिन है क्योंकि इसके लिए पूर्ण SYN / ACK चक्र की आवश्यकता होती है, लेकिन आप अभी भी सर्वर को हैंग होने वाले SYN पैकेट्स से भर सकते हैं, जो IP पर जाते हैं, जो कई-कई हॉप्स को दूर करते हैं और अनिवार्य रूप से प्रक्रिया में बड़ी संख्या में राउटर को बाँधते हैं।

जैसा कि ऊपर उल्लेख किया गया है, प्रॉक्सी का उपयोग करना तुच्छ है, और बड़ी संख्या में खुले अनाम प्रॉक्सी उपलब्ध हैं।

यहां तक ​​कि एक प्रॉक्सी का उपयोग किए बिना, मैं अपने फ़ायरवॉल पर मैक पते को किसी भी नए मनमाने मूल्य पर सेट कर सकता हूं, अपने केबल मॉडेम को रीसेट कर सकता हूं, और मेरा आईएसपी मुझे एक नया चमकदार आईपी पता प्रदान करेगा।

और यह सिर्फ शुरुआत के लिए है। IP प्रतिबंध के आसपास कई अन्य तरीके हैं।

यदि हां, तो क्या समास संभव है?

बहुत कुछ आप प्राप्त करने के पक्ष में नहीं कर सकते।

Forger के ISP को उनके आउटबाउंड ट्रैफ़िक को फ़िल्टर करना चाहिए, ताकि उसके ग्राहक विभिन्न नेटवर्क से IP को ख़राब न कर सकें।

यह राउटर कॉन्फिग में केवल कुछ पंक्तियां है, इसलिए इसे न करने का कोई अच्छा बहाना नहीं है।

हमलावर को ट्रैक करने का एक तरीका है, लेकिन इसके लिए आपके अपस्ट्रीम प्रदाताओं के सहयोग की आवश्यकता है: http://www.cymru.com/Documents/dos-and-vip.html

जैसा कि दूसरों ने बताया है, यूडीपी फोर्जिंग के लिए बहुत मामूली है, टीसीपी इतना नहीं है।

पसंदीदा बचाव, लेकिन दुर्भाग्य से सार्वभौमिक रूप से तैनात नहीं किया गया है, वह है इगर फिल्टर।

डीएसपी आदि सेवाएं चलाने वाले आईएसपी के लिए, प्रत्येक वर्चुअल लाइन को ip verify unicast reverse-path(या जो भी गैर-सिस्को समतुल्य है) के साथ कॉन्फ़िगर किया जाना चाहिए, जो किसी भी पैकेट को ब्लॉक करता है, जिसका स्रोत आईपी पता उस लाइन को डाउन करने के लिए ज्ञात सीमाओं में नहीं है।

मुझे याद है कि 90 के दशक के उत्तरार्ध में सॉकेट प्रोग्रामिंग करना शायद विजुअल बेसिक था, और हम अपने कनेक्शन पर स्रोत आईपी सेट कर सकते थे। मुझे अस्पष्ट रूप से याद है कि जब हमने इसे आजमाया था, तो netstat -an ने वास्तविक स्रोत IP दिखाया, लेकिन Apache लॉग्स ने स्पूफिंग IP दिखाया; और मुझे लगता है कि अपाचे खराब आईपी को पर्ल मॉड्यूल और इसी तरह से सौंप रहा था।