Home » Comment ça marche, Internet

Créer des paquets avec de fausses IP

4 septembre 2010 10 commentaires
tags : , ,
Download PDF

Suite à cet mon article expliquant comment prendre l’IP de quelqu’un, qui à lui même été repris sur OWNI, Michael de anti-hadopi.com indique qu’il est aujourd’hui impossible d’envoyer un paquet avec une fausse IP source :

Tous les routeurs de tous les ISP du monde et a fortiori les routeurs centraux des carriers appliquent par défaut une règle qui interdit le “source routing”. Donc, pas de chance, si vous envoyez un paquet avec une adresse source différente de la votre il ira tout simplement à la poubelle sans bruit … Ca serait un peu trop facile quand même ;-)

Hormis le fait qu’il est strictement impossible, pour ce que Michael appelle un « carrier » (un fournisseur de transit mondial, dans notre jargon), de configurer ses équipements pour détecter les fausses IP dans les paquets, tant le trafic est dense et mouvant (il peut à un instant T arriver par telle route puis basculer par telle autre), je me suis posé la question de savoir si, depuis mes derniers tests datant d’il y a plusieurs années, les fournisseurs d’accès avaient effectivement configuré leurs routeurs de coeur de réseau pour dire « si tu vois passer un paquet en provenance des abonnés vers dehors et qu’il n’a pas une IP source sous notre responsabilité, jette le ».

Je n’ai bien entendu pas testé tous les FAI de France et de Navarre, ce serait trop long, mais j’ai fais deux tests. La méthodologie est basique, je dis à ma machine qu’elle est responsable de la fausse IP et j’utilise la fonction -S de ping pour envoyer un paquet avec cette IP source. Du coté de la destination, je lance un logiciel d’écoute sur le réseau (tcpdump) en lui demandant de m’afficher tout le trafic qui provient de cette fausse IP source. Si je vois arriver les paquets que j’envois, c’est qu’aucun des opérateurs traversés n’a jeté mes demandes. Je ne vous fais pas de copier/collé du résultat, c’est totalement falsifiable, il faudra me croire sur parole ou tester vous-même pour vérifier.

Premier test, envoyé depuis un réseau situé derrière TATA Communications (opérateur indien), un paquet avec une IP Bouygues Telecom vers le réseau de BULL : je recoit sans problèmes les paquets.

Second test, envoyé depuis une machine hébergée chez Free (Dedibox), un paquet avec une IP de l’hébergeur OVH vers une machine chez Orange : ça passe aussi.

La méthode est discutable :

  • Elle ne met pas en jeu des machinbox chez l’abonné final, peut-être que ces box font aujourd’hui un filtrage sur l’IP source. Et même si elles n’en font pas, elles sont quasiment toutes aujourd’hui configurées en mode routeur, empêchant de facto de sortir avec une autre IP que celle de la box, puisque c’est elle qui la gère. Reste qu’il est toujours possible d’utiliser un modem acheté dans le commerce qui ne souffrira d’aucune manipulation étrange de la part du fournisseur d’accès.
  • Elle n’a été testé qu’en ICMP, peut-être que certains opérateurs font des choses contre nature avec TCP et/ou UDP, mais je doute.
  • Elle ne met en jeu que 5 ou 6 réseaux (si on compte ceux traversés par les données) j’ai eu la flemme de chercher des accès ailleurs pour faire un test à grande échèle (je n’ai rien de dispo chez SFR, par exemple).

Une chose est claire, il est tout à fait possible, de nos jours, d’envoyer des paquets falsifiés d’a peu près n’importe ou sur le réseau, n’en déplaise à Monsieur anti-hadopi.com qui semble persuadé du contraire.

10 Comments »

  • Guillaume said:

    Source routing n’a pas grand chose à voir avec la falsification de l’adresse d’envoi d’un paquet.

    Pour interdire ladite falsification d’adresse IP source (IP spoofing), les routeurs ont un bel outil à leur service : RPF (http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html).
    En restant très vague, le concept est « si je n’utiliserais pas l’interface réseau d’où vient ce paquet pour envoyer des données à la source dudit paquet, alors je le jette ». Le filtrage d’adresse IP source tire alors ses décision du protocole de routage, bien souvent dynamique.
    Malheureusement pour la sécurité des réseaux, peu d’ingénieurs réseaux se donnent la peine de mettre en oeuvre RPF.

    Note 1 : Il y a certains cas dans lesquels RPF peut faire beaucoup de mal à la connectivité, le routage asymétrique étant l’un d’entre eux.

    Note 2 : Il faudrait bien plus que RPF déployé de manière systématique dans tout l’Internet pour qu’Hadopi devienne applicable.

  • Bruno (author) said:

    Merci Guillaume pour cette mise au point sur RPF. (très personnellement, j’aime bien le routage asymétrique et je suis partisan du réseau passif qui n’a de décision à prendre qu’à propos d’ou envoyer les paquets, pas de s’ils sont légitimes ou pas, donc c’est exclu sur mes réseaux)

    Pour le source routing, j’avais aussi relevé l’incohérence dans mon commentaire sur OWNI mais je ne l’ai pas repris dans l’article.

  • domi said:

    @Guillaume le source-routing et RPF, ça n’a pas grand chose à voir.

    Ce qui est effectivement filtré par tout le monde, c’est l’option, dans un paquet IP (voir le RFC 791) qui permet de spécifier le chemin de retour pour la réponse à un paqut donné. Parceque, ça, ça a très rapidement été détrouné de son objectif initial. Notamment, c’est une porte béante pour faire des attaques indirectes vers une cible.

    Le RPF, par contre, c’est comme tu le décris un filtrage plus ou moins lié à la table de routage. Et ça, si on l’activait sur les routeurs des opérateurs IP, y’a plus rien qui marcherait. A partir du moment où on s’interconnecte avec plus d’un transitaire, on doit savoir faire avec du routage asymétrique, et donc des paquets qui arrivent « par par où on les attend le plus ».

    Et enfin, les 2 n’ont à voir que très indirectement avec le spoofing d’ip source que décrit Bruno.

  • Bruno (author) said:

    Si quelqu’un se sent à faire un billet sur le routage asymétrique et ce qui en découle, je suis preneur :)

  • Pierre Beyssac said:

    C’est effrayant de voir que l’anti-spoofing est aussi peu déployé en 2010… c’est quand même le B-A BA de la protection…

    Concernant les box (notamment la freebox), qu’elles fassent ou pas de l’antispoofing n’a qu’un lointain rapport avec le fait d’être en mode routeur ou pas. C’est le fonctionnement du NAT qui a de l’importance (ok je pinaille un peu, vu que configurer la freebox en mode routeur impose le NAT, mais ça reste 2 fonctions différentes).

    Je viens de faire une petite expérience sur ma freebox configurée en mode bridge : envoi de paquets avec successivement deux adresses sources différentes de la mienne ; ils sont bien sortis de ma machine mais jamais arrivés à leur destination. Donc il y a bien de l’antispoofing IPv4.

    RPF a l’intérêt de réaliser une sorte d’équivalent d’antispoofing « dynamique », pas besoin de configurer des filtres. Mais comme dit par d’autres commentateurs, c’est inutilisable en cas de routage asymétrique. RPF est donc fait pour les extrémités du réseau, pas le coeur.

  • Bruno (author) said:

    Si quelqu’un a le courage de tester chez SFR et chez Orange, on sera fixés :)

  • Guillaume said:

    @domi et en relation avec ce que dit Pierre : je ne pense pas que beaucoup d’opérateurs IP offrent du multi-homing. Donc sur leurs interfaces qui font directement face à leurs clients, j’aurais tendance à penser que RPF est peu dangereux, et serait efficace pour empêcher le spoofing à partir des réseaux des clients.
    Pour revenir dans le cadre d’Hadopi : il faudrait un RPF déployé sur tous les points d’accès à Internet dans le monde – pas qu’en France, pour s’assurer que les paquets viennent du réseau d’accès d’où ils prétendent venir. Ce pré-requis simplement inatteignable fournirait, quoi, 10% du chemin à parcourir pour que l’association adresse IP personne physique ou morale ait un sens.
    Bref, discussion intéressante mais très académique !

  • Bruno (author) said:

    Ce n’est pas parce que ce blog se veut vulgarisateur qu’on a pas le droit de faire un peu d’académisme de haut vol. Accessoirement, je vois mal le lien de cause à effet entre RPF et Hadopi … mais je dois être fatigué …

  • Kycka said:

    Bonjour,

    Je viens de tester, depuis une connection sfr on peut usurper une ip.

    Je viens de pinger une dedibox avec une ip de chez ovh depuis chez moi :)

    Oala, fin de la série de test.

  • Anéfé said:

    Oui, mais… si le routeur branché au modem, ou (pire) la «machinbox», a été piratée ?

    L’abonné final pourra être à l’origine de la falsification, à son insu. Qui sait ce qui se passe dans la bobox ? Ça me parait tout à fait possible, tout ça, les box étant assez opaques.

    Et comme on ne peut pas y installer (Open) Office… :)

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


8 + un =