Le spoofing IP (en fran�ais mystification) est une technique permettant � un pirate d'envoyer � une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate. Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade de l'adresse IP au niveau des paquets �mis, c'est-�-dire une modification des paquets envoy�s afin de faire croire au destinataire qu'ils proviennent d'une autre machine.
Ainsi, certains tendent � assimiler l'utilisation d'un proxy (permettant de masquer d'une certaine fa�on l'adresse IP) avec du spoofing IP. Toutefois, le proxy ne fait que relayer les paquets ; ainsi, m�me si l'adresse est apparemment masqu�e, un pirate peut facilement �tre retrouv� gr�ce au fichier journal (logs) du proxy. La technique du spoofing (difficile � mettre en �uvre) peut permettre � un pirate de faire passer des paquets sur un r�seau sans que ceux-ci soient intercept�s par le syst�me de filtrage de paquets (firewall). En effet, un firewall fonctionne gr�ce � des r�gles de filtrage indiquant quelles adresses IP sont autoris�es � communiquer avec les machines internes. Ainsi, un paquet spoof� avec l'adresse IP d'une machine interne semblera provenir du r�seau interne et sera transmis � la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejet� par le firewall. Cependant, le protocole TCP (protocole assurant principalement le transport fiable de donn�es sur Internet) repose sur des liens d'authentification et d'approbation entre les machines d'un r�seau, ce qui signifie que pour accepter le paquet, le destinataire doit auparavant accuser r�ception aupr�s de l'�metteur, ce dernier devant � nouveau accuser r�ception de l'accus� de r�ception.
Modification de l'en-t�te TCP
Sur Internet, les informations circulent gr�ce au protocole IP, qui assure l'encapsulation des donn�es dans des structures appel�es paquets (ou plus exactement datagramme IP). Masquer son adresse IP avec la technique du spoofing revient � modifier le champ source afin de simuler un datagramme provenant d'une autre adresse IP (donc d'une autre machine). Toutefois, sur Internet, les paquets sont g�n�ralement transport�s par le protocole TCP, qui assure une transmission dite fiable. Ainsi, avant d'accepter un paquet, une machine doit auparavant accuser r�ception de celui-ci aupr�s de la machine �mettrice, et attendre que cette derni�re confirme la bonne r�ception de l'accus�. Le protocole TCP est un des principaux protocoles de la couche transport du mod�le TCP/IP. Il permet, au niveau des applications, de g�rer les donn�es en provenance (ou � destination) de la couche inf�rieure du mod�le (c'est-�-dire le protocole IP). Le protocole TCP permet d'assurer le transfert des donn�es de fa�on fiable, bien qu'il utilise le protocole IP (qui n'int�gre aucun contr�le de livraison de datagramme) gr�ce � un syst�me d'accus�s de r�ception (ACK) permettant au client et au serveur de s'assurer de la bonne r�ception mutuelle des donn�es. Les datagrammes IP sont encapsul�s dans un paquet TCP (appel� segment). Lors de l'�mission d'un segment, un num�ro d'ordre (appel� aussi num�ro de s�quence) est associ�, et un �change de segments contenant des champs particuliers (appel�s drapeaux, en anglais flags) permet de synchroniser le client et le serveur. Ce dialogue (appel� poign�e de mains en trois temps) permet d'initier la communication, il se d�roule en trois temps, comme sa d�nomination l'indique : Dans un premier temps, la machine �mettrice (le client) transmet un segment dont le drapeau SYN est � 1 (pour signaler qu'il s'agit d'un segment de synchronisation), avec un num�ro d'ordre N, que l'on appelle num�ro d'ordre initial du client Dans un second temps la machine r�ceptrice (le serveur) re�oit le segment initial provenant du client, puis lui envoie un accus� de r�ception, c'est-�-dire un segment dont le drapeau ACK est non nul (accus� de r�ception) et le drapeau SYN est � 1 (car il s'agit l� encore d'une synchronisation). Ce segment contient un num�ro de s�quence �gal au num�ro d'ordre initial du client. Le champ le plus important de ce segment est le champ accus� de r�ception (ACK) qui contient le num�ro d'ordre initial du client, incr�ment� de 1. Enfin, le client transmet au serveur un accus� de r�ception, c'est-�-dire un segment dont le drapeau ACK est non nul, et dont le drapeau SYN est � z�ro (il ne s'agit plus d'un segment de synchronisation). Son num�ro d'ordre est incr�ment� et le num�ro d'accus� de r�ception repr�sente le num�ro de s�quence initial du serveur incr�ment� de 1. Revenons plut�t � la technique du spoofing. Lorsque la machine cible va recevoir le paquet spoof�, cette derni�re va envoyer un accus� de r�ception � l'adresse IP de la machine spoof�e (l'adresse IP modifi�e dans le champ source du datagramme IP), et la machine spoof�e va r�pondre avec un paquet TCP dont le drapeau RST (reset) est non nul, ce qui mettra fin � la connexion. Dans le cadre d'une attaque par spoofing, l'attaquant n'a aucune information car les r�ponses de la machine cible vont vers une autre machine du r�seau (on parle alors d'attaque � l'aveuglette, en anglais blind attack). De plus, la machine spoof�e prive le hacker de toute tentative de connexion, car elle envoie syst�matiquement un drapeau RST � la machine cible. Ainsi, le travail du hacker consiste alors � invalider la machine spoof�e en la rendant injoignable pendant toute la dur�e de l'attaque.
Pr�dire les num�ros de s�quence
Lorsque la machine spoof�e est invalid�e, la machine cible attend un paquet contenant l'accus� de r�ception et le bon num�ro de s�quence. Tout le travail du pirate consiste alors � �deviner� le num�ro de s�quence � renvoyer au serveur afin que la relation de confiance soit �tablie. Pour cela, les pirates utilisent g�n�ralement la source routing, c'est-�-dire qu'ils utilisent le champ option de l'en-t�te IP afin d'indiquer une route de retour sp�cifique pour le paquet. Ainsi, gr�ce au sniffing, le pirate sera � m�me de lire le contenu des trames de retour... Ainsi, en connaissant le dernier num�ro de s�quence �mis, le pirate �tablit des statistiques concernant son incr�mentation et envoie des accus�s de r�ception jusqu'� obtenir le bon num�ro de s�quence.

Nombre de lectures :

Format imprimable