¿Se pueden disfrazar los paquetes TCP / UDP?

Por supuesto, puede falsificar las direcciones de origen en paquetes TCP o UDP. No tiene mucho sentido en TCP porque no podrá completar la secuencia TCP ya que la respuesta SYN se enviará a la fuente falsificada (no a usted) y esa máquina ignorará ese paquete como espurio o responderá restableciendo el conexión, y así suplantar la fuente de un paquete TCP es realmente útil solo en situaciones muy limitadas: para ataques de denegación de servicio, para aprovechar una falla conocida en una implementación remota de TCP / IP, para usar paquetes TCP SYN como uno canal esteganográfico (donde la carga útil real está codificada en el número de secuencia TCP inicial o de alguna otra manera desviada), o cuando el altavoz está en el mismo dominio de difusión que el host que se está falsificando y, por lo tanto, puede ver las respuestas al hostil falso. Hay situaciones en las que los paquetes UDP falsificados pueden tener efectos reales (por ejemplo, ciertos tipos de ataques en DNS, que usa UDP), porque UDP no tiene conexión.

Tenga en cuenta también que la mayoría de los ISP se negarán a reenviar paquetes con direcciones de origen que “no deberían” tener. Los cortafuegos Cisco PIX y ASA que he estado utilizando durante más de una década ahora arrojan todo tipo de ruido en los registros cuando ven que un paquete llega a una interfaz con una dirección de origen inesperada (y, por supuesto, se niegan a reenviarlo).

El objetivo de las herramientas de monitoreo es monitorear, y cualquier cosa en la red que se esté monitoreando aparecerá en el monitor. No hay escapatoria del ojo vigilante del administrador de seguridad de la red. Hay formas de ocultar las comunicaciones para que sean menos obvias, pero lo hace al integrarlas en otras comunicaciones aparentemente inocuas, no al burlar las direcciones de origen de los paquetes.

Related Content

En TCP (capa de transporte), ¿es mejor tener un tamaño de ventana grande o pequeño? ¿Cómo funciona el tamaño de la ventana y qué es la ventana deslizante?

¿Cómo debo configurar una IP pública estática como la dirección IP de mi sistema host usando Bridge en Linux?

¿Cuál es el significado de 127.0.0.1 y 10.10.10.1 direcciones IP?

¿Qué significa cuando alguien más está usando su dirección IP?

¿Cuál de las 2 computadoras responderá a mi ping si ambas tienen la misma dirección IP y yo hago ping desde una tercera computadora?

Si el software de monitoreo existe en algún lugar a lo largo de la ruta que recorrerán los paquetes TCP / UDP, será recogido por ellos, suponiendo que el software de monitoreo esté instalado y configurado correctamente.

Los paquetes TCP tienen que tener información particular en ellos para ser utilizables, el origen y el destino y la carga útil. Puede hackear la dirección MAC para ocultarla en el nivel de IP, puede suplantar el origen o el destino siempre que haya un servidor proxy involucrado que pueda apuntarlo en la dirección correcta.
Lo más importante, puede encriptar la carga útil. Hay docenas de formas de hacerlo, desde encriptar los datos, luego enviarlos o usar TLS (que podría ser inútil dependiendo del software de monitoreo involucrado).

Erik Fair

¡Sí! Puedes ponerlos en gafas divertidas, una nariz y bigote de Groucho Marx, ¡y nadie puede decir qué son!


Por supuesto, tan pronto como haces esto, tienden a no ir a su destino, fallan en una prueba de encabezado de suma de comprobación IP y son expulsados ​​en el enrutador del primer salto.

No, no puedes evitar que sean monitoreados. El objetivo de los monitores es buscar todo el tráfico.

Tony Li

Sí: envuelva las cargas / paquetes TCP y UDP en IP Encapsulating Security Payload (ESP), que forma parte de IP Security.

Es decir, cifrarlos.

Cualquier intento de inspección profunda de paquetes y análisis de tráfico simplemente mostrará que los paquetes IP / ESP se intercambiaron entre un par de direcciones IP pares, cuándo y cuántos datos (bytes), pero no qué protocolo de transporte (o protocolo de aplicación) estaba en uso . Ah, y tu contenido también será privado.

Erik Fair

Claro, puede dividir paquetes y ocultarlos dentro de otros paquetes tcp / ip, se llama esteganografía. Si eres clver, puede parecer que eres
transmisión de música o video, pero oculto en algunos rincones está el paquete real
tráfico.
También puede enviar paquetes con otros códigos de ID de paquete, no tiene que marcarlos como Ethernet o TCP / IP, por lo que la mayoría de los rastreadores de paquetes ni siquiera los verán. Sin embargo, es probable que esos paquetes no pasen el primer enrutador.

Tony Li

More Interesting

¿UDP es aún mejor que TCP para juegos en tiempo real con muchos datos?

¿Cuál es la diferencia entre SNMP y TCP / IP?

¿Necesito una IP compartida o una IP dedicada para mi email marketing?

¿Las direcciones IP del país / ciudad siempre permanecen iguales?

¿Cuál es el mejor localizador de IP? ¿Por qué?

¿Qué significa '192' en una dirección IP y qué es?

¿Qué no se usa para transferir un archivo: SMTP, FTP, TCP o POP?

¿Por qué son necesarias las direcciones IPv4 privadas y cómo funcionan?

¿Cuál es el máximo de saltos que puede llevar un paquete?

Cómo hackear una computadora a través de una IP pública, cómo seleccionar una computadora especial de la red

Unix: si SO_LINGER está apagado, ¿se garantiza que los mensajes no enviados se entregarán antes del cierre del socket? ¿Hay alguna desventaja de habilitar so_linger?

¿Cuál es el mejor, TCP o UDP?

TCP / IP: ¿Cuál es la forma correcta de transferir datos? Comprimir los datos cifrados o cifrar los datos comprimidos?

¿La dirección IP de mi red y punto de acceso están conectados a los otros dispositivos al mismo tiempo?

En las redes de computadoras, ¿cómo puedo saber en qué parte de la ruta se descarta un paquete?