Auteur Sujet: Spoofing d'IP sur réseau FAI  (Lu 4169 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
Spoofing d'IP sur réseau FAI
« le: 02 mai 2022 à 17:56:01 »
Bonjour,
Je viens de découvrir (ce n'est probablement pas un scoop pour beaucoup d'entre vous) que sur le réseau de mon opérateur (RED SFR FTTH) je peux envoyer des packets via une autre IP que celle qui m'est attribuée, et que ces packets sont bien routés par mon FAI.

Je m'explique. J'ai remplacé la box de mon opérateur par un routeur pfSense. Sur ce dernier, pour divers raisons, je disposes "d'IP virtuelles" routables sur internet.
Je me suis rendu compte par hasard, que si je fais un ping vers une destination en passant pas le réseau de mon opérateur mais en utilisant une de ces IP mais non fournie par ce dernier, les packets étaient bien routés vers la destination (vérifié par capture réseau sur la destination en question).
Bien évidemment la réponse du ping depuis la destination ne se fait pas vers moi via l'opérateur en question, mais est bien redirigée vers l'opérateur de l'IP utilisée.

C'est probablement la base des DDOS.

Néanmoins je m'étonne de voir qu'un FAI, ici SFR, route des IP sources qui n'appartiennent pas à leur client.
Qu'en pensez vous ?

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
Spoofing d'IP sur réseau FAI
« Réponse #1 le: 02 mai 2022 à 19:00:19 »
...
C'est probablement la base des DDOS.
Ca fait partie des techniques, mais pour que les attaques en DDOS soient vraiment efficaces, il faut mettre aussi en place des techniques "d'amplification", notamment avec des botnets.

Néanmoins je m'étonne de voir qu'un FAI, ici SFR, route des IP sources qui n'appartiennent pas à leur client.
Qu'en pensez vous ?
C'est le principe du routage : la décision d'acheminement d'un paquet (vers la cible ou le routeur suivant) se fait en étudiant l'adresse destination - pas l'adresse source.
Le fait de filtrer les adresses sources n'est plus du routage - c'est du filtrage  :D.
A ma connaissance, les FAI n'ont pas du tout l'obligation de vérifier que les paquets qu'ils injectent sur d'autres réseaux sont "légitimes" du point de vue de leurs adresses IP sources.


« Modifié: 03 mai 2022 à 08:46:19 par pju91 »

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Spoofing d'IP sur réseau FAI
« Réponse #2 le: 02 mai 2022 à 22:57:41 »
Ca s'appelle le reverse path filtering , ou aussi abrégé rp_filter.

C'est étonnant que le FAI ne le pratique pas, mais ce n'est pas une obligation en effet.

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
Spoofing d'IP sur réseau FAI
« Réponse #3 le: 03 mai 2022 à 01:02:33 »
Je peux confirmer, après avoir fait un test similaire sur ma connexion Milkywan, que les packets ne sont pas routés vers la destination si je spoof une IP qui n'est pas la mienne

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
Spoofing d'IP sur réseau FAI
« Réponse #4 le: 03 mai 2022 à 09:04:33 »
Ca s'appelle le reverse path filtering , ou aussi abrégé rp_filter.

C'est étonnant que le FAI ne le pratique pas, mais ce n'est pas une obligation en effet.
Pourtant, ce n'est pas nouveau, le RFC 2267 en parlait déjà en 1998 comme une solution pour "empêcher les attaques en déni de service utilisant du spoofing d'adresse IP" !
C'est disponible sur tous les systèmes et équipements réseau, encore faut-il que le FAI le mette en place (correctement).
Voir par exemple pour Linux la rubrique rp_filter de https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt



Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Spoofing d'IP sur réseau FAI
« Réponse #5 le: 03 mai 2022 à 09:07:08 »
C'est disponible sur tous les systèmes et équipements réseau, encore faut-il que le FAI le mette en place (correctement).
Alors c'est pas si simple ^^

Typiquement sur nos Arista, il faut changer le profil TCAM pour activer uRPF, ce qui réduit le nombre de routes max de l'équipement.
Sur nos Brocade, uRPF n'existe pas en IPv6.

Chez MilkyWan, on a activé uRPF partout où c'était possible, ça me semble être la base d'un réseau de FAI.

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
Spoofing d'IP sur réseau FAI
« Réponse #6 le: 03 mai 2022 à 09:41:54 »
Alors c'est pas si simple ^^

Typiquement sur nos Arista, il faut changer le profil TCAM pour activer uRPF, ce qui réduit le nombre de routes max de l'équipement.
Sur nos Brocade, uRPF n'existe pas en IPv6.

Chez MilkyWan, on a activé uRPF partout où c'était possible, ça me semble être la base d'un réseau de FAI.
Tu justifies ainsi pourquoi certains FAI ne le font pas : il faut que l'ingéniérie soit bien faite, c'est compliqué à implémenter, ça peut créer des limitations ou des problèmes de performance (et ça peut également compliquer les diagnostics).
Et encore, vous n'aviez pas un historique à gérer.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Spoofing d'IP sur réseau FAI
« Réponse #7 le: 03 mai 2022 à 09:45:51 »
Je ne justifie pas, j'explique. SFR a le budget pour faire les choses bien si ils s'en donnent la peine ;)

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
Spoofing d'IP sur réseau FAI
« Réponse #8 le: 03 mai 2022 à 09:49:42 »
En tout cas j'imagine que c'est quand même la porte ouverte à des failles de sécurité

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Spoofing d'IP sur réseau FAI
« Réponse #9 le: 03 mai 2022 à 09:50:39 »
Oh le spoofing c'est pas non plus l'affaire du siècle, ça sert surtout à faire de l'amplification, et donc du déni de service

Steph

  • Abonné K-Net
  • *
  • Messages: 7 552
  • La Balme de Sillingy 74
    • Uptime K-net
Spoofing d'IP sur réseau FAI
« Réponse #10 le: 03 mai 2022 à 09:54:05 »
A ma connaissance, les FAI n'ont pas du tout l'obligation de vérifier que les paquets qu'ils injectent sur d'autres réseaux sont "légitimes" du point de vue de leurs adresses IP sources.
En tout cas, sur Covage, il y a des ACL lié au relais DHCP qui coupent au bout de 5 minutes la connexion si IP fixe sans demande DHCP.
Pas possible de spoofer sa propre adresse plus de 5 minutes.
Je n'ai jamais testé avec une autre...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Spoofing d'IP sur réseau FAI
« Réponse #11 le: 03 mai 2022 à 09:55:24 »
Il me semble que sur le réseau FttH de Bouygues Telecom, le reverse path filtering est bien activé.