本地可以被欺骗吗？

9

远程计算机是否可以通过欺骗回送ip来访问另一台计算机的本地主机数据？

假设我想要一个设置，如果我要从自己的网络以外的地方进行连接，则必须提供登录凭据，并且所有敏感操作都需要输入密码。但是，如果我是通过计算机连接的，则不需要这些凭据，因为无论如何我都必须登录到OS才能访问该设备上的网络。我可以以此方式依靠环回地址作为安全措施吗？还是攻击者可能使它看起来像是在本地连接一样？

security localhost

— 蜜蜂
source

我不相信。

— SpacemanSpiff

1

您是说让机器接收似乎来自 127.0.0.1 的欺骗性数据包吗？还是您的意思是让机器接收地址为 127.0.0.1 的欺骗性数据包？

— 大卫·史瓦兹

我的意思是，基本上，有人可以假装为本地主机，从而闯入我的本地主机数据并对其进行“任何操作”。

— bee.catt

目前尚不清楚“闯入我的本地主机数据”的含义。这是否意味着使您的计算机收到似乎来自127.0.0.1的数据包？

— 大卫·史瓦兹

12

没有。

可以将数据作为伪造的127.0.0.1发送，但是答复将“传出”（实际上留在里面）回送接口，并“丢失”。

如果途中有一台路由器，它将通过其自己的环回接口发送数据包，并且该数据包将在那里丢失。

— 穆拉兹
source

好的，因此，如果我正确理解了所有这些内容，则攻击者可能会发送一些IN消息，但他们将无法将任何东西发回OUT消息，因为回送的本质是它只能与自己对话。如果这是正确的，那么攻击者是否可以发送使远程连接成为可能的恶意代码，甚至只是一些通常会破坏性能的代码？

— bee.catt 2012年

您的PC中有一个路由表，其中列出了哪些数据包从何处流出。（在* nix上路由-n）。您在此处有一个条目，用于127.0.0.0/8通过回送接口发出（实际上是不回传，因为它是回送）。因此，如果来自您局域网的攻击者向您的PC发送了一个数据包，则您的PC可以接受它，但返回数据包将丢失，因为它将保留在您的PC内部（从回送发送出去）

— mulaz

1

一个有趣的想法。但是，回送接口没有MAC地址。因此，您必须将目标计算机（技术目标NIC）MAC与不属于该MAC的IP结合使用，并希望接收网络堆栈能够接受它。然后，该包需要被期望数据并且可能还监听真实IP的东西接受。不过，一个好主意。

— Hennes

您可以使用以太网卡中的mac（当您向8.8.8.8谷歌发送数据包时，将其发送到8.8.8.8作为目标IP的路由器MAC。这台机器当然需要启用ip转发。

— mulaz

那在控制平面上的攻击呢？使用精心设计的源地址127.0.0.1，可以绕过某些ACL吗？

— sdaffa23fdsf 2014年

6

是。令人惊讶的是，有可能欺骗回送源地址。显然，您不会得到任何答复，因此您的欺骗数据包还需要包含一个利用程序。此外，它将在路由器处停止，因此您需要与受害者位于同一本地网络上。远程漏洞CVE-2014-9295可通过这种方式利用。

事实证明，在这种情况下，OS X和Linux内核的行为类似。任何到达外部接口且源IP为127.0.0.1的IP数据包都将立即被丢弃。但是，如果改为使用IPv6，我们实际上可以欺骗:: 1并将控制模式数据包发送到守护程序（某些Linux发行版中具有防止这种情况发生的防火墙规则，例如Red Hat）。因此，如果我们在同一个本地网络上，则可以将欺骗性数据包发送到目标的链接本地地址，并绕过IP限制。

http://googleprojectzero.blogspot.de/2015/01/finding-and-exploiting-ntpd.html

— Sourcejedi
source

这是真正的答案……

— DeepS1X

3

环回数据通常永远不会进入网络。在发生这种情况之前，它已被拦截并循环返回。由于它永远不会碰到实际的网络，因此网络上的任何内容都无法拦截它。

— 海恩斯
source

1

否。回送是硬编码的/etc/hosts-这是解析器查找ip转换回送的第一处。除非您能够编辑/ etc / hosts，否则您将无法进行编辑。

如果可以编辑/ etc / hosts，则说明您是管理员，因此可以执行任何操作。

— nm
source