¿Se puede suplantar localhost?

9

¿Es posible que una máquina remota acceda a los datos de host local de otra máquina falsificando la ip de loopback?

Diga si quería una configuración en la que si me conecto desde algún lugar fuera de mi propia red, tendré que proporcionar las credenciales de inicio de sesión y se requerirá mi contraseña para todas las operaciones confidenciales. Sin embargo, si me conecto desde mi computadora, estas credenciales no son necesarias porque tengo que iniciar sesión en mi sistema operativo para acceder a la red en ese dispositivo de todos modos. ¿Puedo confiar en la dirección de bucle invertido como una medida de seguridad de esta manera? ¿O es posible que un atacante haga que parezca que se está conectando localmente?

security localhost bee.catt
fuente
No lo creo.
SpacemanSpiff
1
¿Quiere decir que la máquina reciba un paquete falsificado que parece provenir de 127.0.0.1? ¿O quiere decir que la máquina reciba un paquete falsificado dirigido a 127.0.0.1?
David Schwartz
Quiero decir, básicamente, ¿alguien puede entrar en mis datos de host local y hacer lo que sea con él fingiendo ser host local?
bee.catt
No está claro qué significa "entrar en mis datos de host local". ¿Significa eso que su máquina recibe un paquete que parece provenir de 127.0.0.1?
David Schwartz

Respuestas:

12

No.

Es posible enviar datos como 127.0.0.1 falsos, pero la respuesta "saldrá" (permanecerá dentro) en la interfaz de bucle invertido y se "perderá".

Si hay un enrutador en camino, enviará el paquete a través de su propia interfaz de bucle invertido, y se perderá allí.

mulaz
fuente
De acuerdo, si entiendo todo esto correctamente, un atacante podría enviar algo IN, pero no podría recuperar nada, porque la naturaleza del loopback es que solo se habla a sí mismo. Si esto es correcto, ¿podría un atacante enviar un código malicioso que permita la conexión remota o incluso un código que generalmente rompe las cosas?
bee.catt
tienes una tabla de enrutamiento en tu PC, que dice qué paquetes salen a dónde. (ruta -n en * nix). Tiene una entrada allí para que 127.0.0.0/8 salga a través de la interfaz de bucle invertido (en realidad no se apaga, ya que es un bucle invertido). Entonces, si el atacante de su lan envía un paquete a su PC, su PC puede aceptarlo, pero el paquete de devolución se perderá, ya que permanecerá dentro de su PC (enviado 'fuera' del loopback)
mulaz
1
Una idea interesante Sin embargo, la interfaz de bucle invertido no tiene dirección MAC. Por lo tanto, debe tener las computadoras de destino (NIC de destino técnico) MAC en combinación con una IP que no pertenezca a esa MAC y esperar que la pila de la red receptora lo acepte. Y luego el paquete debe ser aceptado por algo que espera datos y probablemente también escucha en la IP real. Aún así, un buen pensamiento.
Hennes
Puede usar el Mac desde la tarjeta de Ethernet (cuando envía un paquete a, digamos google 8.8.8.8, lo envía a sus enrutadores MAC con 8.8.8.8 como dst. IP. La máquina necesita tener el reenvío de IP habilitado por supuesto.
mulaz
¿Qué pasa con los ataques en el avión de control? Con una dirección de origen diseñada como 127.0.0.1, ¿es posible omitir algunas ACL?
sdaffa23fdsf
6

Si. Sorprendentemente, es posible falsificar una dirección de origen de bucle invertido. Obviamente no recibirá ninguna respuesta, por lo que su paquete falso también debe incluir un exploit. También se detendrá en un enrutador, por lo que debe estar en la misma red local que la víctima. El agujero remoto CVE-2014-9295 fue explotable de esta manera.

Resulta que OS X y el kernel de Linux se comportan de manera similar en este caso. Cualquier paquete IP que llegue a una interfaz externa y con la fuente IP 127.0.0.1 se descartará inmediatamente. Pero si usamos IPv6, en realidad podemos falsificar :: 1 y enviar paquetes de modo de control al demonio (algunas distribuciones de Linux tienen reglas de firewall que protegen contra esto, por ejemplo, Red Hat). Por lo tanto, si estamos en la misma red local, podemos enviar paquetes falsificados a la dirección local de enlace del objetivo y evitar las restricciones de IP.

http://googleprojectzero.blogspot.de/2015/01/finding-and-exploiting-ntpd.html

sourcejedi
fuente
Esta es la verdadera respuesta ...
DeepS1X
3

Los datos de bucle invertido generalmente nunca llegan a la red. Es interceptado y, bueno, en bucle, antes de que eso suceda. Como nunca llega a la red real, nada en la red puede interceptarla.

Hennes
fuente
1

No. El loopback está codificado /etc/hosts: este es el primer lugar donde el resolutor buscará la traducción de loopback a ip. A menos que pueda editar / etc / hosts, no podrá hacerlo.

Si puede editar / etc / hosts, entonces es un administrador y puede hacer cualquier cosa ...

mnmnc
fuente