Какво е spoofing? Видове spoofing и методи за защита.

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА

ЦЕНТЪР „МАГИСТЪРСКО ОБУЧЕНИЕ“

Варна, 2014

Реферат

по

Безопасност и защита на Microsoft мрежи и

приложения

на тема

Какво е spoofing? Видове spoofing и методи

за защита.

Изготвил: Проверили: Нели Лазарова доц. д-р Стефан Дражев спец. Информатика ас. Радка Начева курс 5, 61гр., фак. № 11886

Нели Лазарова

Какво е spoofing? Видове spoofing и методи за защита.

Нели Лазарова, | фак. № 11886

2

Съдържание

1. Какво е spoofing? ................................................................ 3

2. Видове spoofing .................................................................. 4

2.1. IP spoofing ...................................................................... 4

2.2. ARP spoofing .................................................................. 5

2.3. Email spoofing ................................................................. 6

2.4. Network spoofing ............................................................. 6

3. Методи за защита от spoofing ........................................... 9

4. Използвана литература ................................................... 12



3

1. Какво е spoofing?

Терминът spoofing (от англ. spoof - измама) се определя като акт на

човек, представящ се за някой друг, обикновено в опит за измама. Думата

“spoof” е често използвана в областта на забавленията в смисъл на пародия

на шоу или представление. В този смисъл, под думата спуфинг в областта

на сигурността и измамите се разбира имитирането на човек или услуга с

цел да се получи достъп до чувствителни данни и информация като

потребителски имена, пароли, номера на банкови сметки, лични данни.

Една от известните спуфинг атаки, която е била популярна в

продължението на много години по време на използване на ранните

версии на Unix, е фалшивата logon програмата на един програмист.

Програма имала за цел да напомни, да подтикне потребителят да въведе

своите потребителско име и парола. Без значение, обаче, какво той

въвежда, програмата връщала съобщение за опит за невалидни данни, след

което връщала контрола към реалната програма за идентификация/ logon.

Така, спуфинг програмата записвала във файл получените потребителско

име и парола, след което те биха послужили за получаването на достъп.

Този пример е представен на фиг.1.

Фиг.1. Спуфинг атака при опит за вход/логване



4

2. Видове spoofing

Познати са няколко вида на spoofing атаки, сред които IP spoofing,

ARP spoofing, email spoofing, network spoofing. Ще разгледаме всеки един

от тях.

2.1. IP spoofing

IP spoofing е класическият начин за прилагането на спуфинг атаки,

тъй като е един от най-често използваните методи. При този тип атаки се

изпращат IP пакети от подправен източник (IP адрес). Основната цел е да

се замаскира така адресът, за да изглежда, че пакетите идват от сигурен

източник, а в действителност да не е. Това е атака спрямо IP адреса на

изпращащия хост. Промяната на адреса се постига по следния начин. В

заглавната част на всеки IP пакет се съдържа адресите на източника и на

получателя. Обикновено адреса на източника е този адрес, от които е

изпратен пакета. Чрез подправяне на адреса в заглавната част,

атакуващият може да направи така, че да изглежда, че пакетът идва от

друга машина. Така получателят ще получи пакети и ще върне отговор

към променения адрес. Честа проява на този вид спуфинг е подменянето

на адреса на LAN или WAN мрежи.

IP спуфингът е наистина лесен за изпълнение, което се дължи на

някои пропуски в TCP/IP модела. В общи линии TCP/IP приема, че всеки

компютър „казва“ истината. Не се прилага почти никаква проверка на

това, дали пакетът идва от адреса, който е записан в заглавната му част.

Denial-of-service атаките често използват спуфинг атаките, за да

претоварят мрежите и устройствата с пакети, които изглежда, че са

изпратени от легитимни за атакуваната мрежа или устройство IP адреси.

Има два начина, по които spoofing атаките се използват, за да се натоварят



5

мрежите с прекомерен трафик. При първия – blind spoofing attack, целта е

просто да се залее набелязаната жертва с пакети информация, изпращани

от множество фалшиви адреси. Този метод работи като директно се

изпратят повече пакети от колкото може да поеме. При втория начин –

informed attack, атакуващия има за цел да прихване IP адреса на

получателя и да започне изпращането на пакети по мрежата от него на

различни получатели. Когато отсрещната страна получи пакети, тя

автоматично връща пакет на подателя с информация. И тъй като изглежда,

че пакетите са изпратени от набелязания IP адрес, пакетите в отговор се

изпращат към него и буквално бива заливан с информация.

2.2. ARP spoofing

Този тип спуфинг атака е насочена към протокола ARP (Address

Resolution Protocol). Функциите на протокола са свързани с асоциирането

на IP адрес с MAC адреси при предаване на данни. Атаката се

характеризира с изпращането на фалшиви ARP съобщения чрез локалната

мрежа. Основната цел в случая е MAC адреса на атакуващия да бъде

асоцииран в ARP таблицата с IP адреса на легитимен член на мрежата. По

този начин данните, насочени към жертвата ще бъдат препращани към

адреса на атакуващия. След като веднъж бъде осигурен този канал за

получаване на трафика на жертвата, злонамерените лица могат да

извършват с него почти всичко – анализиране на данни, променяне на

пакети и изпращането ми до другите членове на мрежата, спиране на

трафика в мрежата и т.н. Тази атака сама по себе си стои в основата при

осъществяването на други атаки, като например - Man-in-the-middle, DNS

spoofing, Session Hijacking и други. ARP спуфингът работи само в рамките

на локална мрежа (LAN), която използва ARP протокола.



6

2.3. Email spoofing

Email спуфинг се състои в изпращане на съобщения като преди това

адресът на подателя се подправя така, че да изглежда че съобщението идва

от някого, различен от реалният източник. Тази измама лесно би могла да

се осъществи, тъй като основните протоколи не правят никаква проверка

за достоверността на въведените адреси. Основният протокол SMTP

(Simple Mail Transfer Protocol), използван за изпращане на по електронна

поща, не включва използването на механизми за автентикация. Въпреки че

в разширенията на услугата вече е възможно използването на методи за

защити, те в най-честия случай не се прилагат. Така всеки, който

притежава необходимите знания, може да се свърже с мейл сървъра и да

го използва, за да изпраща съобщения.

Този тип измама се прилага най-често при спам и фишинг

съобщенията, като основната цел е получателят да бъде заблуден относно

произхода на имейла. При email спуфинг резултатът не винаги се свежда

до неудобството от получаването на фалшиви съобщения. По-

злонамерените хакери могат да причинят сериозни проблеми и рискове

относно сигурността на личните данни. Например, получените фалшиви

съобщения може да изглеждат, че са изпратени от различни институции,

които ви молят да предоставите лични данни, номера на банкови сметки,

пароли и други. Американската банка (The Bank of America), eBay и Wells

Fargo са сред потърпевшите компании, които са станали част от спуфинг

измами.

2.4. Network spoofing

Network Spoofing се изразява в получаването на достъп до мрежа без

това да бъде позволено, с цел извличането на поверителни данни и



7

информация. Процесът се извършва чрез взимане на IP адреса на доверен

на атакуваната мрежа компютър, чийто легитимен статут позволява

обмяна на информация с атакуваната мрежа.

За разлика от останалите видове спуфинг, които имат опасен и

злонамерен характер, мрежовия спуфинг може да се използва и за полезни

цели. Такова приложение например е използването на мрежовия спуфинг

за регулиране на трафика в мрежата. Ако мрежовия трафик е прекалено

висок, gateway-ът не би могъл да се справи с валидирането на всички

пакети от информация по мрежата. В тези случаи, когато е необходимо

минимизирането на трафика, би могло да се приложи техниката на

мрежовия спуфинг.

Познати са три вида мрежови спуфинг. Това са:

Protocol spoofing;

DNS spoofing;

MAC spoofing;

Protocol spoofing

Във всяка мрежа съществува протоколна група, наречена

Transmission Control Protocol (TCP). Тази протоколна група създава,

поддържа и разрушава мрежовите връзки. В процеса на свързване

компютърът, искащ достъп до мрежата, изпраща пакети от данни за

верификация, което на свой ред добавя допълнителен трафик към

мрежата. От друга страна, изграждането на такава мрежа също ще доведе

до повишаване на трафика. За да избегне такава ситуация, шлюзът

(gateway-ът) може да приеме ролята на отдалечен компютър и да отговоря

на TCP съобщенията. Така, шлюзът на мрежата изиграва ролята на

свързващ компютър и се редуцира мрежовия трафик.



8

DNS spoofing

Domain Name System (DNS) „представлява разпределена база от

данни за компютри, услуги или други ресурси, свързани към Интернет или

частни мрежи, с чиято помощ се осъществява преобразуването на

имената на хостовете в IP-адреси“1. Това улеснява изключително много

работата на потребителите при използването на Интернет услуги. Вместо

да въвежда IP адреса, за да достигне до даден ресурс в мрежата,

потребителят може просто да въведе неговото име (домейн). Цялата

информация за IP адресите и имената на домейните се съхраняват в DNS

сървъри.

При извършването на спуфинг атака към DNS сървър, атакуващият

променя DNS сървъра с цел да пренасочи дадено име на домейн към друг

различен от реалния IP адрес. В много от случаите, зададеният нов IP

адрес е към сървър, който се управлява от атакуващия и съдържа файлове

със злонамерен софтуер. Ето защо, DNS спуфингът се използва най-често

за разпространение на компютърни червеи и вируси.

MAC spoofing

Всяко едно устройство, свързано с мрежа има MAC (Media Access

Control) адрес. Когато се подава заявка за свързване, интернет доставчикът

регистрира МАС адресът на устройството за по-сигурна връзка и само

устройството с този МАC адрес може да се свърже с мрежата. Ако

потребителят се опита да се свърже с друго устройство към мрежата,

такова свързване няма да бъде позволено.

MAC спуфингът е насочен към промяна точно на фабричния MAC

адрес на устройство, което е свързано към определена мрежа. MAC

адресът е закодиран на високо ниво в мрежовия интерфейсен контролер

1 Domain Name System, http://bg.wikipedia.org/wiki/Domain_Name_System, 13.04.2014



9

(NIC = network interface controller) и не може да бъде променян. Въпреки

това, съществуват инструменти, с които може да се заблуди

операционната система да мисли, че мрежовия контролер разполага с

MAC адреса на избраното устройство, а всъщност той да е друго. Това е

процеса по замаскирване на MAC адреса. Новото устройство ще изпрати

информация през регистрираният MAC адрес, за да получи достъп до

мрежата, като използва регистрираният MAC адрес за да се прикрие.

3. Методи за защита от spoofing

Съществуват множество методи и инструменти, които компаниите и

организациите използват, за да намалят риска от спуфинг атаки. Сред най-

често срещаните такива мерки са:

Packet filtering – Филтриране на предаваните пакети – Този

метод проверява потока от пакети с информация в мрежата и

анализира както входящите, така и изходящите пакети. В

зависимост от съдържанието на заглавната част (header) на

пакетите, те биват изпращани или провалени. Този инструмент

е успешен при превенцията на IP спуфинг атаки, тъй като е

способен да филтрира и да блокира пакети от данни с

противоречива информация за адреса на източника – по-точно

пакети от информация, идващи от външен за мрежата

източник и обратното.

Избягване на доверени взаимовръзки – Същността на този

метод е изграждането на колкото се може по-малко протоколи,

изградени на доверени взаимовръзки. Това ще намали

възможността на хакерите да използват спуфинг атаките, тъй



10

като доверените връзки използват само IP адресът за

индетификация на източника.

Използване на софтуер за засичане на спуфинг –

Съществуват множество програмни продукти, които помагат

на организациите да засекат спуфинг атаките и особено ARP

спуфинг. Тези програми работят като инспектират и

сертифицират информацията преди да бъде предадена, и

съответно я блокират, ако се предположи, че е спуфинг атака.

Пример за такъв софтуер е програмата WireShark.

Използване на криптирани мрежови протоколи – Примери

за такива протоколи са Transport Layer Security (TLS), Secure

Shell (SSH), HTTP Secure (HTTPS). Тяхната функция е да

криптират изпратената информация преди да бъде предадена и

съответно да разрешат достъпът при получаването й.

Други методи за защита от спуфинг атаки са свързани главно с

поведението на потребителите. Така например, за да се предпази от Email

спуфинг, е препоръчително потребителя да спазва следните съвети:

Да се използва добра антивирусна програма;

Да не се отварят електронни съобщения, без да бъде разпознат

подателя;

Да се игнорират съобщения, без посочен подател;

Да се игнорират съобщения, които съдържат данни на получателя в

полето за подател;

Да не се отварят съобщения, които съдържат само хипервръзка;



11

Да се активира опцията за филтриране на съобщения с непосочен

подател;

Да се използва една от трите системи за автентикация на имейли –

Sender Policy Framework, SenderID или Domain Keys Identified Mails).

За защита от IP спуфинг е добре потребителя да изпълнява следните

действия:

Да се използват защитни стени (firewalls) при непозволено

прехвърляне на данни;

Прилагането на криптографски алгоритми за осигуряването на

различни нива на автентикация;



12

4. Използвана литература

1. Dulaney, Emmett, CompTIA Security + Study Guide, Wiley publishing,

Canada 2009

2. Dubrawsky, Ido How To Cheat At Your Securing Network, Syngress

Publishing, USA 2007

3. Jamsa, Kris, Hacker Proof the Ultimate Guide to Network Security,

Delmar Learning, Canada 2002

4. Rouse, Margaret Email spoofing,

http://searchsecurity.techtarget.com/definition/email-spoofing,

12.04.2014

5. Fergal Glynn, Spoofing Attack,

http://www.veracode.com/security/spoofing-attack, 12.04.2014

6. What is Spoofing, http://www.wisegeek.com/what-is-spoofing.htm,

12.04.2014

7. Email spoofing, http://en.wikipedia.org/wiki/Email_spoofing, 13.04.2014

8. MAC spoofing, http://en.wikipedia.org/wiki/MAC_spoofing, 13.04.2014

9. What is Network Spoofing and what are the types of it?,

http://www.combofix.org/what-is-network-spoofing-and-what-are-the-

types-of-it.php, 13.04.2014

10. Domain Name System,

http://bg.wikipedia.org/wiki/Domain_Name_System, 13.04.2014

11. How to use Wireshark to detect and prevent ARP spoofing,

http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-

detect-and-prevent-ARP-spoofing, 13.04.2014

Какво е spoofing? Видове spoofing и методи за защита.

Education

Transcript of Какво е spoofing? Видове spoofing и методи за защита.