Easy-Micro

TECHNIQUE Sécurité Web
IP Spoofing

Usurpation d'adresse IP

Hoax Description
Technique utilisée par les hackers qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet.
L'adresse IP d'un ordinateur est l'adresse qui est utilisée pour reconnaitre un ordinateur sur Internet. Elle est présumée valide lorsqu'elle est certifiée par les services TCP et UDP.
Le protocole IP et le routage sur Internet ne vérifie pas l'adresse source.
Un des principaux problèmes est que en utilisant le routage source d'IP, l'ordinateur du hacker peut se faire croire comme étant un ordinateur connu. Brièvement, le routage source d'IP est une option qui peut ètre utilisée pour spécifier une route directe à une destination et renvoyer le chemin de retour à l'expéditeur.

L'IP Spoofing est une usurpation d'adresse IP qui consiste à générer des paquets IP avec de fausses adresses IP source afin d'usurper l'identité d'autres systèmes ou pour protéger l'identité de l'expéditeur.

Le principe de base de cette attaque consiste à forger ses propres paquets IP (avec des programmes comme hping2 ou nemesis) dans lesquels le pirate modifiera, entre autres, l'adresse IP source. L'IP Spoofing est souvent qualifié d'attaque aveugle (ou Blind Spoofing).

Effectivement, les réponses éventuelles des paquets envoyés ne peuvent pas arriver sur la machine du pirate puisque la source est falsifiée. Ils se dirigent donc vers la machine spoofée. Pour récupérer des réponses, le pirate indique un chemin pour le retour des paquets au routeur qu'il contrôle via une une option IP appelée Source Routing (méthode du Source Routing), ou bien il donne de nouvelles indications de routage aux tables des routeurs utilisant le protocol RIP (méthode du reroutage).

Une autre manière encore plus simple pour "spoofer" un client est d'attendre que le système client ait éteint sa machine et de se faire passer ensuite passer pour ce dernier.

Hoax Solution
La meilleure méthode est d'installer un routeur-filtreur qui limite les entrées à l'interface externe (connue sous le nom de filtreur d�entrée) en n'accordant pas le droit d'entrée à un paquet qui a une adresse source du réseau interne. Il peut aussi être bon de filtrer les paquets sortants qui ont une adresse source différente du réseau interne afin de prévenir une attaque d'IP spoofing provenant du réseau interne.

Sources :
- EthNeo et TechFaq
- XTream

< Page précédente SéCURITé WEB Page suivante >