題:
由於我可以使用原始套接字將源IP地址設置為任何內容,這是否意味著我無法追踪?
Joey
2014-12-05 18:42:35 UTC
view on stackexchange narkive permalink

為了做作業,我用原始套接字編碼了一個TCP數據包。因此,我也可以將源IP地址更改為所需的任何地址。那麼,為什麼不能有人製作一個程序,用另一個源IP地址發送數百萬個這樣的數據包( DDoS)?他/她是否“安全”並且沒有人可以追踪到他/她?

其他問題:

  1. 您是否可以在此DDoS程序中實現此功能?叫 LOIC?因此,不會有任何人使用它。
  2. 路由器會記錄有關我(發送者)的哪些信息?警察可以用這些日誌追踪我嗎?
    3. ol>
您如何更改源IP地址?
@Hacketo Raw套接字允許您從接口發送原始數據。您需要手動構建IP報頭,並可能計算校驗和,但這並不困難。
在Python中,我只使用了這一行:source_address = socket.inet_aton(source_ip)並且變量source_ip可以更改為您想要的所有內容
凱文(Kevin),您還必須欺騙您的MAC地址,因為它是NIC的唯一標識符。
@raz, MAC地址是第2層,而不是第3層,並且不會超出第一跳。因此,沒有,除非您進行DoS的計算機直接連接到NIC,否則就無需對其進行欺騙。
但是,邊緣設備的MAC地址可能需要與ISP的源地址匹配才能接受它。如果他們只為您提供一個地址而您要發送其他地址,則該地址可能會被丟棄。
三 答案:
SecsAndCyber
2014-12-05 19:15:18 UTC
view on stackexchange narkive permalink

您是正確的,這是可能的。但是,該計劃存在一些問題:

  • 您要離開的網絡可以進行過濾,以丟棄其網絡內沒有源IP的傳出數據包。
  • DDoS( Distributed 拒絕服務)是基於這樣的想法,即許多設備針對一個設備,從而使目標設備處理數據的能力超負荷。您的單一用戶硬件無法單獨產生輸出以使目標過載。
  • 源IP地址欺騙用於某些拒絕服務攻擊,例如向許多服務器發送少量的大量數據請求,服務器將回復被欺騙的目標。請參閱Wikipedia上的 反映/欺騙性攻擊 或去年來自美國CERT的 NTP放大攻擊
  • 通常,TCP不會”由於三向握手而得益於地址欺騙。使用TCP執行會話劫持
更確切地說:在TC中,您無法建立TCP連接-因為收件人會將握手發送回偽IP。因此,這僅適用於由不稱職的管理員運行的網絡上的UDB(不使用源過濾-很多情況下)。
帶有欺騙性源IP的TCP SYN數據包通常不會幫助您完成握手。但是服務器可能會在接收SYN數據包時分配內存,並在等待其餘數據包時保持分配的內存。這樣,這可能會耗盡服務器上的所有內存。這種攻擊已經知道了幾十年了,因此,到現在為止,任何嚴重的操作系統都應該對此採取對策。
謝謝SecsAndCyber​​!但是,假設我有一個非常大的殭屍網絡,並且我的網絡沒有過濾任何外出數據包。因此,只要我願意,我就可以使一些功能不那麼強大的網站和私人計算機脫機,警察對我無能為力?我無法想像這是可能的。必須有一種方法,他們可以追踪我?
殭屍網絡中的@Kevin計算機通常不在同一網絡中。它們只是全世界(即在多個網絡上)被劫持的計算機。但是我想您可以將計算機收集到您的殭屍網絡中,並丟棄基於源ip過濾出站數據包的網絡中的所有計算機。
@Kevin仍然沒有任何意義。如果您使用的是殭屍網絡進行DDoS,則無需擔心它們是否可以跟踪流量,因為它可以追溯到被劫持的計算機(而不是您自己的計算機,除非您將其包含在殭屍網絡中...)。 http://en.wikipedia.org/wiki/殭屍網絡
@gurka您是正確的。我最初想到的是一台具有強大Internet連接(100mbit / s)的計算機,它能夠使其他一些私人計算機(<100mbit / s)脫機。有了這個“源ip欺騙技巧”,您將無法追踪。但可追溯或不可追溯的問題是:P
@Kevin警察理論上可以追踪您。但是,因為您發送的數據包的IP標頭不會指向您,所以它們必須識別這些數據包及其到達的接口,在攻擊者仍在運行或使用審核日誌的每台路由器上,它們從接收者朝您返回在攻擊過程中保存下來,這需要每個路由器的所有者的合作,因此這並不容易,也不便宜。
自98-99以來的補丁程序,盲TCP會話劫持不起作用。
AJ Henderson
2014-12-05 22:41:20 UTC
view on stackexchange narkive permalink

源IP地址告訴客戶端響應誰,但這不是唯一的方法來告知流量來自何處。您仍然必須與ISP處的路由器進行通信,並且它們將與另一個路由器進行通信並可能記錄流量。他們可能還會拒絕從網絡內部與偽造的發件人一起處理數據包。

僅僅因為您更改IP地址並不意味著就沒有該數據包在網絡中傳播的記錄。

還值得注意的是,沒有有效的源IP地址,您實際上無法在類似TCP之類的地方建立連接,因為您無法完成握手。

但是數據包將通過許多路由器傳播,而不僅僅是發送者到接收者。因此,每個路由器都需要記錄流量。但是您確定他們會這樣做嗎?那麼,由於所有的連接,這肯定是一個很大的日誌文件。您或其他人可以給我更多有關這些路由器日誌的信息嗎?他們確切記錄了什麼?還有多久?
@Kevin-通常沒有那麼多的路由器。它可能會經過10到15,但通常至少有1/3會在ISP的網絡上,另外1/3左右會在接收者的ISP的網絡上。中間的那些通常是骨幹網絡,但是它們仍然關心網絡上的入口和出口點,以進行計費和對等協商。他們可能會也可能不會記錄每個數據包,但是如果他們開始注意到一個奇怪的模式,他們很可能會注意到它。
Tim X
2014-12-12 03:48:25 UTC
view on stackexchange narkive permalink

像大多數與此類問題有關的答案一樣,這取決於。 IP欺騙會使跟踪您變得非常困難,但這不能保證某人無法做到。這實際上取決於可能要跟踪您的人在網絡上的哪個位置。例如,如果您是通過ISP帳戶或公司網絡執行此操作的,而網絡管理員會注意到並想跟踪您,則他們很有可能會這樣做,尤其是當他們注意到並開始調查並且您仍在操作時。另一方面,如果您執行此操作並使用此技術在遠程站點上執行Dos / DDoS攻擊之類的操作,則很大程度上取決於站點。如果它是同一國家的主要政府,軍事等站點,則他們很可能有資源和權限來獲取日誌和其他信息並跟踪您。另一方面,如果它是一家沒有大量資源的公司或在另一個國家/地區,則要獲取必要的信息或獲得進行調查所需的資源量可能會更加困難。

通常,當某人想要遮掩其位置時,有必要使用多種技術來使跟踪變得困難。例如,您可能首先破壞了一個遠程系統,然後使用該系統來啟動您的活動,而不是簡單地從您自己的計算機上運行它。通常,“安全”方法是始終假設您可以跟踪您所做的任何事情,如果您想避免這種情況,則與確定誰/您在哪裡的價值相比,您需要付出的努力/開銷太高。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...