IP Spoof Attack
Zhengming
2011-4-5
content
•
•
•
•
•
•
Background
IP Spoof history
IP Spoof Attack Event
IP Spoof Attack Categories
IP Spoof Attack Demo
IP Spoof Attack Defense
Internet Protocol (IP)
version
IHL
Type of Service
Total length
DF DF MF
Identification
Fragment offset
Time to live
Protocol
Header checksum
Source address
Destination address
Options (0 or more words)
ECE 4112 - Internetwork Security
3
IP Spoof Background
• 互联网上每周有4000多起源地址伪造攻击
• 美国、中国是世界上遭受源地址伪造攻击最
多的国家之一（CAIDA）
• 98%的地址可以进行伪造或邻居伪造（MIT
Spoofer）
CAIDA Telescope
• 一个实时backscatter （反射式）假冒源地址
DoS攻击观测平台
• 观察一个黑洞地址内收到的报文，其中许多是
被攻击者随机假冒黑洞内的地址空间，被受害
者发回的应答报文
• 可以估计互联网随机假冒源地址方式的攻击总
量（实际上由于黑洞为源地址的攻击报文可能
被过滤掉，实际上是低估了）
• 也可以发现谁被攻击了（收到的源地址就是攻
击时的目的地址）
MIT ANA Spoofer Project
• 测量互联网对源地址伪造的过滤情况
– 多种源地址类型(invalid, valid, private)
– 过滤粒度(可以伪造哪些邻居的地址？)
– 地理位置(哪些运营商实施了源地址验证？)
• 在所作的测量中，31%的用户可以伪造至少一
种地址；其余的用户中，有77%可以伪造不同
粒度的邻居的地址。
• 并且在过去四年中，全球网络在源地址过滤
方面不进反退。说明在防止伪造方面的发展不
如在网络规模上的发展速度。
Example
IP Spoof History
• 1985
Robbert Morris A weakness in the
4.2bsd unix TCP/IP software
• 1989
S. M Bellovin Security Problems in
the TCP/IP Protocol Suite
• Morris Worm
• Kevin Mitnick's Christmas Day
IP Spoofing Attack
• Non-blind attacks
– Attacker and target on same subnet
– Reply traffic can be sniffed
• Blind attacks
– Attacker and target on different subnets
– Reply traffic cannot be seen by attacker
– Attacker must be able to predict replies
ECE 4112 - Internetwork Security
9
IP Spoofing Attack
• Attacks made possible by IP spoofing include
– Denial of Service (DOS)
– Session Hijacking
– Man in the Middle
• To take over a TCP stream, sequence and
acknowledgement numbers must be sniffed or
predicted.
ECE 4112 - Internetwork Security
10
IP Spoof Attack Categories
被假冒主机H 不存在于公网或是没
激活的源地址
SYN flooding
被假冒主机H 就是攻击目标
Smurf
TFN ( tribe flood network)
DrDoS
Land
被假冒主机H 与V 在同一子网
Blind attack
TFN2K ( tribe flood network 2000)
被假冒主机H 与A 在同一子网
Bounce Scan
被假冒主机H 在A 与V 通信路径上
被假冒主机H 既不与V 或A 在同一子
网, 也不在A 与V 通信路径上
MITM( man-in-the-middle)
DEMO
IP Spoof Defense
• Router based filtering
• End to End
• Traceback
Router based filtering
•
•
•
•
•
•
•
Ingress Filtering
DPF
SAVE
Passports
HCF ( hop count filtering)
ARBIF
Filter in Access Network
End to End
• IPSec
• SPM
• APPA
Traceback
• Packet Mark
– PPM、DPM、Pi和AITF
• Router Record
– Hash-based IP Traceback
• Collector
– iTrace、CenterTrack
IP Spoof Defense
RS =random source, FS =fixed source , RD=random destination, FD=fixed destination
故事接龙
• 六怪拜访黄药师，黄药师无意理会，命哑
姑招呼各人。黄药师则独自划艇出海垂钓。
哑姑到海边找寻黄药师却见欧阳锋与杨康
到来。杨康诱骗哑姑引六怪到墓穴。欧阳
锋假扮黄药师将五怪杀死，故意放走柯镇
恶。使柯镇恶误会黄药师杀五怪，令天下
群攻黄药师。但欧阳锋、杨康留下不少蛛
丝马迹使黄蓉猜知乃二人所为。
Thanks & Questions