Может ли поддельный IP-трафик выйти за пределы транспортного уровня?

Я хотел бы знать, можно ли получать пакеты с поддельным IP-адресом выше транспортного уровня. Мои мысли:

TCP: Нет, поскольку подтверждения никогда не дойдут до исходного отправителя, если его IP-адрес был подделан. Не удалось установить сеанс, поэтому позже транспорт не пройдет.
UDP: Да, не требует подтверждений

Есть что еще рассмотреть? Я где-то читал, что можно было угадать ACK или SEQ для настройки поддельного сеанса TCP - насколько это возможно в современных ОС?

Спасибо

Вы правы в отношении UDP. Вам придется реализовать свой собственный протокол (с использованием HMAC для гарантии подлинности и т. Д.), Чтобы предотвратить подделку протоколов на основе UDP.

В прошлом предсказание порядкового номера TCP было жизнеспособной атакой. Некоторые операционные системы сделали очень плохой выбор начального порядкового номера, допускающего эти атаки. Соединение злоумышленника является односторонним, поскольку машина с реальным адресом источника поддельных пакетов будет получать поток, отправляемый атакуемым хостом, но если вам не нужно ничего, что может отправлять удаленный хост (т.е. вы выполняете атаку, которая включает запись только на удаленный хост), то отсутствие обратного канала приема от удаленного хоста не имеет значения.

Интересный документ с некоторыми очень фазовыми графиками анализа начальных порядковых номеров TCP доступен здесь: http://lcamtuf.coredump.cx/oldtcp/tcpseq.html Увы, это данные эпохи Windows 2000 и Linux 2.2. (Хотя есть и классные картинки!)

Я не в курсе о каких-либо текущих документах, посвященных генерации начальных порядковых номеров TCP в современной операционной системе, но они, вероятно, там есть. В отрасли наблюдается тенденция к усилению алгоритмов, и я считаю, что, хотя, вероятно, есть некоторые встроенные устройства, готовые к атаке, большинство основных операционных систем теперь используют алгоритмы, которые имеют достаточную случайность, чтобы предотвратить предсказание числа последовательности атаки от жизнеспособности.

Если ваш злоумышленник может перехватить ваш TCP-поток, вся случайность исходных порядковых номеров в мире вам не поможет. Зашифруйте свой трафик (оберните его в SSL, IPSEC и т. Д.), И вы тоже решили эту проблему. (Тогда вы можете беспокоиться о распределении ключей, аутентификации хоста и т. Д ... Не волнуйтесь - там больше проблем, откуда они пришли. Мы сделаем еще несколько и никогда не закончатся ...> smile <)

Рассмотрим случай атака "человек посередине", если скомпрометированный брандмауэр или маршрутизатор позволяют устанавливать сеансы TCP с поддельным IP-адресом.