14-07-2003, 11:04
bueno he estado leyendo algunos manuales de ip-spoofing...
i tengo algunas dudas...
bueno he entendido eso de k no veras nada por k los paquetes iran la otro host i tmb lo de dejar lelo al host para k no le lleguen paquetes que no ha pedido i corte la conexion i entonces todo a la mierda...
bueno lo tipico de los manuales de ip-spoofing pero tengo una duda
como falseo el remitente de un paquete??
Hay programas y programas y programas rulando por ahi, busca en google, la verdad es que no recuerdo como se llamaba, pero yo tuve en mis manos un bastante bueno, podias editar totalmente en datagrama, las flags, la IP origen...
El IP-Spoofing o falsificación de IP ha perdido eficacia debido a la aparición de nuevos protocolos de codificación. Como falsificación IP se conocen dos:
- Falsificación ciega: Esto implica el envío de paquetes TCP de Internet con direcciones de fuente falsas. Esto puede hacer que un paquete aparezca en nuestro servidor con una dirección de vuelta completamente ficticia. Es ciego debido al hecho de que estamos enviando paquetes sin esperanza de verlos volver. El principal problema de la falsificación ciega está relacionado con los números de secuencias de TCP. En cada sesión TCP, una secuencia que se está ejecutando se incrementa a medida que cada ordenador envía y recibe paquetes. Esto se utiliza para reagrupar y retransmitir paquetes. El problema surge cuando no vemos los paquetes de vuelta; tenemos que adivinar el número de secuencia lógico del siguiente paquete que enviaremos. Esta parte de la técnica hace desistir a todos salvo a los intrusos más persistentes o inteligetes (o quienes usen herramientas credas por un intruso inteligente y persistente) de intentar una falsificación ciega.
- Falsificación no-ciega: El otro tipo de falsificación de TCP es la falsificación no-ciega. Aunque ésta no tiene tanto impacto como la falsificación ciega, normalmente ninguno de los métodos precedentes puede detenerla. La falsificación no-ciega sucede cuando un ordenador falsifica la dirección de otro ordenador del mismo segmento Ethernet que el. Esto parece no tener mayor importancia. Sin embargo, utilizando un sniffer de red y un paquete falso, un atacante puede enviar paquetes que parezca que no tiene origen, causando serios problemas para seguirle la pista a un atacante.
Esto aún se complica más, cuando se usan filtros ACL antispoofing de entrada y salida en los enrutadores. Cuando la mayoría de sistemas operativos incorporan un parche (o lo han facilitado) para permitir incrementos de secuencias TCP. Dicho en otras palabras, un atacante puede falsear casi cualquier parte de un paquete IP, mientras sea válido cuando lo hace y los enrutadores que están en su camino no tengan reglas antispoofing para evitar su paso.
TseTse
Leyendo sobre el tema me topo con lo siguiente: (aclaro ke soy nuevo en el tema).
El IP spoofing funciona en una LAN (sobre todo en las que sean tipo bus pasivo). Sin embargo, en Internet no podemos suponer que, a priori, el IP spoofing puede funcionar. Los ISP aplican (o deberían aplicar) filtros en los servidores de acceso y en sus routers para 'paliar' este problema. En el peor de los casos, si no lo hace el ISP, lo hará el carrier, así que estamos en una situación parecida.
Ke tanto hay de cierto con esto? o porke? me refiero al hecho de ke solo en una red LAN funciona este método, a ké se debe?.
-Saludos-
Fuente: http://www.iec.csic.es/criptonomicon/articulos/expertos63.html
Marcadores