IPスプーフィング

IPスプーフィング (IP Spoofing)とは、Internet Protocol の通信で、送信者のIPアドレスを詐称して、別のIPアドレスに「なりすまし」(spoofing)を行う攻撃手法をいいます。IPアドレス偽装攻撃とも呼ばれます。

読み方

概要

アクセスコントロールをIPアドレスで行う場合、特定のIPアドレスからのアクセスを許可します。IPアドレスを詐称して、アクセス制限を回避できれば、不正なアクセスが可能になります。 IPアドレス偽装攻撃とも呼ばれます。

DoS攻撃 ( Smurf攻撃 , SYN flood , Ping of Death , ping flood など) では、IPスプーフィングを用いて、行われることがあります。攻撃元を詐称することで、攻撃元の特定が困難になることやIPアドレス単位のアクセス拒否が難しくなります。

IPスプーフィングを行うためには、TCP/IPで利用されるシーケンス番号が必要になります。TCPでは、順序付けやウィンドウ制御のために、シーケンス番号を利用します。

攻撃側は、攻撃対象となるホストにダミーの接続を行います。この接続で、初期シーケンス番号を対象となるホストに返すので、攻撃側は、初期シーケンス番号を得ます。

偽装対象のホストが動いている場合、パケットが偽装対象に流れてしまうので、攻撃が成立しません。偽装対象のホストが稼働している場合には、DoS攻撃などで偽装対象のホストを停止する必要があります。

IPアドレスを偽装したパケットの応答は、攻撃元のホストには、届きません。それは、返信先のIPアドレスが攻撃元のホストのIPアドレスと異なるからです。

通信をルータで監視している場合、外部から内部へのパケットで、送信元アドレスと送信先アドレスが一致しているようなパケットは、IPスプーフィングである可能性が高いです。

ルータの内側のネットワークの通信で、偽装される場合、一般的に特定が難しくなります。

Unixのr系コマンド(rsh,rcp,rlogin)は、.rhostsにある信頼できるホストをIPアドレスで判断します。 IPスプーフィングで、r系コマンドを利用すれば、コマンドが実行できるかもしれません。