security - 应用程序安全问题: How easy is it to fake an IP-Address?

Question

我正在处理一个受防火墙保护的应用程序，并且只允许从某些 IP 地址(即应用程序网络服务器)进行访问。

有点微妙，引入另一个认证/保护层会很麻烦。

我对网络的理解不是很好，因为它不是我的主题，但在我的脑海中，我编造了以下场景:

• 有人知道我们其中一个应用程序服务器的 IP 地址，并想伪造它来访问他知道其监听套接字和协议(protocol)的其他应用程序。

• 因此，他更改了 IP 数据包的 header ，以将 Web 服务器 IP 作为发送器。

接下来会发生什么？

• 答:他的 ISP 拒绝了该数据包并说“嘿，这不是我为您分配的 IP 地址。” - 问题已解决

• B:ISP 将数据包传递到下一级(他的上行链路...)

假设 ISP 已被攻破，或者数据包未经检查就被传递(我不知道是否是这种情况)

接下来会发生什么？

• 答:运营商拒绝该数据包并说“嘿，该 IP 不在我们同意您操作的 IP 范围内!” - 现在，如果我的网络服务器不是由攻击者入侵的同一 ISP 运营 - 问题就解决了

• B:ISP 没有检查数据包或数据包已被泄露，并将其转发到他的上行链路。

现在我非常确定 IP 地址在通过路由器时会被检查和过滤。否则就会完全无政府状态。

简单来说:想要伪造我的 IP 地址的攻击者需要破坏负责我的 Web 服务器运行的 IP 范围的同一 ISP - 或者该 ISP 不进行数据包检查。

• 这是正确的吗？

好吧，现在我想象我的服务器位于办公室，其 ISP 是一家区域有线电视公司。

将数据包从我的 IP 地址发送到另一个互联网 IP 需要执行哪些步骤？

(当然我只是要求了解风险并选择适当的保护!)

我想象找到路由站，它通常位于街边的某个小容器中，仅受锁保护。进去那里。更换电缆或自行插入。

如果您知道自己在做什么，或者是否存在建立经过身份验证的连接所需的真实办公室调制解调器上存储的 key 的加密握手？

我正在谈论当今有线互联网的标准。

最后一个想法:所以如果我的源服务器不是一些家庭 ISP，其站点在街上容易受到攻击，我应该很安全，对吗？

我记得 NFS 服务器默认仅依赖 IP 身份验证。因为这种情况很常见 - 有没有 NFS 服务器因伪造 IP 地址而被黑客攻击的例子？

我意识到这个问题提出得非常非常奇怪。这是因为我不确定我在这里所说的一切。我只是想在我认为洞穴饮食可能存在的地方提供一些意见，以便可以确认或消除它们。

总的来说，我很感谢您对此主题的任何评论和个人想法!

Answer 1

现在我非常确定 IP 地址在通过路由器时会被检查和过滤。

尽管您非常确定，但这个假设是不正确的。 “导出过滤”(即其名称)通常不完成。

针对广泛的 IP 地址欺骗的主要保护措施是攻击者不会收到任何响应数据包 - 它们都会被路由回合法使用被欺骗的 IP 地址的主机。这种攻击被称为“盲目欺骗”，因为攻击者是盲目工作的。

为了在 TCP 连接上发送数据，您必须能够完成 TCP“三次握手”。这需要知道对方使用的初始序列号 - 并且由于 TCP 初始序列号是合理随机选择的¹，这可以防止盲目欺骗攻击执行此操作。 (另请注意，这不适用于 UDP - 如果没有某种应用层预防措施，UDP 就会面临盲目欺骗的巨大风险。

如果攻击者可以看到返回的回复(例如，因为他正在嗅探服务器的上行链路或本地网络)，那么这也不适用 - 在这种情况下欺骗 TCP 连接不仅是可能的，而且是微不足道的.

<小时/>

^{1。无论如何，现在情况并非总是如此。}