אני מנסה למצוא דרך לחסום אפשרות לבצע IP Spoofing ברמת הפרוטוקול של HTTP.

חשבתי על שימוש כלשהו באפצ'י, על מנת לזהות דבר ראשון מאיפה התקשורת מגיעה (כלומר איזה Ethernet ) ואז לבדוק האם הערך של הheaders הגיוני, ובמידה ולא, אז לחסום את זה ברמה הזו.

האם מישהו יודע או מכיר דרך לעשות את זה ברמה של שרת HTTP ?

שימו לב שאני לא מדבר על רמת TCP כאשר מדובר ב spoofing, היות וזה משהו שניתן לטפל בו עם Netfilter יחסית בצורה טובה (אם כי לא מושלמת).

תודה,

IK

זה מעניין מה שאתה אומר . אקשיב לדיון הזה

אם זאת, נראה לי(באופן אישי) ש IP Spoofing לא ניתן לעשות מעל גבי הרשת הפנימית שעליה מורץ השרת
בקנה מידה גדול לא ניתן לבצע spoof היות וישנם יותר מידי כתובות mac וניתובים בדרך
זה אפשרי עם ציוד שתומך ב vlan אחרת לא ישים בכלל .

ניתן לעשות לך spoof אם פרצו לשרת קרוב לשרת שלך על ידי
כך שמשתמשים ב man in a middle""

כל יישום אחר נראה לי לא אפשרי ...

Anonymous :

זה מעניין מה שאתה אומר . אקשיב לדיון הזה אם זאת, נראה לי(באופן אישי) ש IP Spoofing לא ניתן לעשות מעל גבי הרשת הפנימית שעליה מורץ השרת בקנה מידה גדול לא ניתן לבצע spoof היות וישנם יותר מידי כתובות mac וניתובים בדרך זה אפשרי עם ציוד שתומך ב vlan אחרת לא ישים בכלל . ניתן לעשות לך spoof אם פרצו לשרת קרוב לשרת שלך על ידי כך שמשתמשים ב man in a middle"" כל יישום אחר נראה לי לא אפשרי ...

אבל אם אני מעל גבי רשת האינטרנט ולא מאחורי NAT או נמצא ברשת פרטית, אז יש סיכויים גדולים שאפשר לעשות לי את זה.

לעניות דעתי לא אפשרי .. . . .
בעקרון כל מחשב ברשת שולח arp לרכזת ומעדכן כתובות שלו ip mac ועוד ...

שרוצים להאזין לשרת , עושים arp spoof שמשבש ברכזת את הכתובות שהמחשבים שולחים
וגורם לו להתחזות ל mac של השרת בטבלה וכך להשיג "ניתוב"
זה מתאפשר רק ברמה הפיסית על אותה רכזת ,
בכלל חומרתית התקן hub שולח פקטות לכל המחשבים (גם אלה שביקשו וגם אלה שלא)
התקן מסוג switch שולח\מיירט בהתאם למחשב

כל מחשב ברשת שולח נתונים שלו בזמן קצר של מילי שניות , כדי לשבש את הטבלה צריך מחשב קרוב שמסוגל להספיק לעשות את זה בזמן שאינו עולה על הזמן שבה הרכזת מעדכנת פרטים ...


אם אתה מעל גבי רשת האינטרנט ולא מעל nat
עדיין אי אפשר לעשות לך את זה

הסיבה , ip spoof עובד על רכזות מסוג hub , גם לא על כל switch זה עובד גם ברשת פנימית
העיניין "שהמשחק" ש spoof יודע לעשות עובד ברמת הרכזת

הסיבה למה אי אפשר לעשות זאת :
על גבי האינטרנט (גם ללא nat) עם כתובת ישירה , גם בתור רשת ישירה יש מספר רב של ניתובים ורכזות בדרך , כך שלא ניתן "לשבש" את טבלאות ה mac address של מספר רב של רכזות


כדי להצליח לעשות לך spoof
* מישהו צריך לפרוץ לשרת ממש קרוב לשרת שלך - קרי יושב על אותה רכזת
* ורק בדרך הזאת מחשב מרוחב מסוגל לעשות arp spoof לאותה שרת שלך (דרך שרת קרוב כאשר מחשב מרוחק משתמש בו בתור proxy\man in the middle

יש לי בעיה, שאני חייב להסתמך על כתובת ip בנוסף לעוד מספר פעולות.
אני יודע לחסום spoofing ברמה לא לגמרי הרמטית דרך netfilter.

לגבי mac spoofing אפשר לעבוד גם עם firewall ב layer 2 או גם להשתמש עם netfilter, ולאפשר רק כתובות ידועות של mac.

אני מנסה לדעת שהכתובת שאני מקבל בHTTP היא תקינה, כולל אם זה proxy, ויש לי header נוסף (X-Forwarded-For), אז שגם הוא חוקי.

IK, אני לא בטוח שהבנתי למה או איך אתה רוצה להשתמש ב http ?
עד כמה שאני יודע, כל המידע שאתה צריך נמצא כבר בשכבה 2,3,4.

אתה יכול לחשוב על תרחיש של spoof שהתוקף לא יושב על אותו סבנט עם הלקוח\שרת?
ואני כמובן לא מתכוון למטרות syn flooding, הרי כל אידיוט יכול לשלוח לך synים
מכתובות + מקרה הזה השרת ווב שלך הוא בכלל לא פקטור מסיבות די ברורות...


לאורח למעלה - ההתקפה שתיארת זה לא arp spoof. כשאתה עושה arp spoof
אתה לא מזייף שום כתובת MAC, אתה פשוט צועק הרבה: " IP_A על ה MAC שלי! "
מבחינת הסוויטץ הכל שקוף, אתה מנסה לשכנע את כולם לשולח לmac שלך.

להתקפה שתיארת קוראים port stealing (סוג של...), זאת התקפה פחות נפוצה,
היא הרבה פחות אלגנטית (לדעתי) וגם יש לה "תיקון" פשוט בכל סוויטץ נורמאלי.
לדוגמה בסוויטצים של סיסקו יש משהו שנקא port guard או port security, לא זוכר
בדיוק (עברה בערך שנה מאז שהגדרתי ציוד רשת, ולא אין לי כוח לגגל p: ).

זהו, מקווה שלא בלבלתי אותך אם משהו תפעיל פאקט סניפר, זאת לדעתי הדרך הכי
טובה ללמוד.

ויטלי :

IK, אני לא בטוח שהבנתי למה או איך אתה רוצה להשתמש ב http ? עד כמה שאני יודע, כל המידע שאתה צריך נמצא כבר בשכבה 2,3,4.

אני חייב לקחת את הכתובת IP ולהשתמש בה. וזה מגיע באמצעות אחד מ2 שדות שאמורים לעבור, ואני מפחדש ששם יכניסו משהו לא נכון.

יותר נכון אולי להגיד forgery ?