IP отправителя можно подделать

Это точно «пакет не доходит», а не «подтверждение о доставке идёт на фейковый адрес»?

tcpdump src x.x.x.x не ловит, значит не доходит

поздравляю с выходом из анабиоза замечательным открытием!

на уровне провайдера это никак не регламентируется. провайдер практически никогда не режет такие пакеты, ему не нужен лишний гемор на ровном месте.

1) Это хорошо или плохо?
2) Таки режется, проверял

это не хорошо и не плохо. просто это факт о работе сетей. и на заметку всяким любителям «выявлять злоумышленников» по IP (что является полным маразмом).

если у тебя не белый айпишник, то у тебя ближайший роутер проставляет свои адреса, скорее всего. ответы ты, естественно, ни в каком случае не получишь, даже при белом IP.

Я так понял, ты запустил tcpdump на удалённой VPS и постучался в открытый порт, а с локальной машины сформировал запрос с измененным src?

Да, программой nping

Если «ближайший роутер проставляет свои адреса» то это NAT, такого сейчас нет практически нигде. И я говорил не про ответы, а про прием

такое есть у многих провайдеров, до сих пор. белые адреса дают далеко не все. а уж мобильные операторы вообще про белые адреса ничего не знают. у них пул адресов.

в каждом конкретном случае надо смотреть на геометрию сети.

если у тебя не белый айпишник, то у тебя ближайший роутер проставляет свои адреса, скорее всего. ответы ты, естественно, ни в каком случае не получишь, даже при белом IP.

Тут человек запрос на удаленном сервере получить не может, т.е. ждёт на удаленной машине запрос с определенным src ip, но он до удаленного сервера просто не доходит. Про ответ и речи не идёт.

я уже сказала: надо смотреть геометрию сети. я работала у провайдеров и видела много спуфа. провайдеры его не режут. может, ТС пакет неправильно формирует, а может, у него сетевая карта переписывает адрес (raw пакет ещё послать надо за пределы своей системы умудриться и стандартными средствами это не сделать - это элементарная защита от мамкиных какеров).

надо смотреть геометрию сети

На тригонометрию.

я работала у провайдеров и видела много спуфа. провайдеры его не режут.

RFC2827 для кого написан?

на заборе знаешь что было написано? бабка подошла, потрогала - сучок оказался. так вот и в RFC много чего написано. а провайдеры не фильтруют исходящий трафик. другое дело, что не каждый юзер может обойти сетевую подсистему. да и тащемта нафиг не нужно. но факт, что спуф в сети - явление совершенно обычное. даже постоянное. по UDP валит масса левых пакетов, я лично наблюдала круглосуточные атаки такого плана на разных серверах по всему миру.

а теперь почитай про tcp 3-way handshake

1. мож где-то на транзите есть рп фильтр. 2. у провайдера может быть на вашем порте доступа фильтр мак+ип и dhcp-snooping. тогда вам не светят такие фокусы в принципе. Зависит от билинга провайдера.

«выявлять злоумышленников» по IP (что является полным маразмом).

Вообще-то нет. Если речь про какие-то сеансы, перебор паролей, например, то это вполне себе работает. Может быть, ты найдёшь элемент ботнета, конечно, а не реального засранца (и это практически на 100% так), но и владелец элемента ботнета, вообще-то, засранец тоже. И тоже должен немножко страдать.

И таки зачастую провайдеры режут IP, которые не попадают в список допустимых диапазонов. По крайней мере те, которые обычных клиентов подключают, а не транзит обеспечивают. И это я не про марсиан, а именно про обычные диапазоны.

Плюсану. Для ТС вот смотрите самая обычная ситуация, асимметричный роутинг. Дано два прова, первый спокойно пропускает пакеты отправленные с ip адресом второго прова. А вот второй режет «чужие» пакеты. Это я на своем домашнем примере пишу.
И такое встречается очень часто когда несколько провов, кто-то пропустит пакет с «чужим» ip, а кто-то нет.

а провайдеры не фильтруют исходящий трафик

Отучаемся говорить за всех.

uRPF примерно у 40% организаций.

что не каждый юзер может обойти сетевую подсистему.

Только что сделавший такое же Великое Открытие как ТС — несомненно. Для остальных гугль выдаст готовый рецепт.

по UDP валит масса левых пакетов

UDP != spoofing

Впрочем spoofing весьма удобен для amplification, но в этом случае к тебе прилетят пакеты с незаспуфленными SRC IP.

Продолжайте читать на заборах.

я не читаю на заборах. я писала серверный софт для DNS и прочий сетевой софт. и этот софт работал на многих серверах по всему миру. и везде одно и то же: заспуфленные UDP пакеты тоннами. и это не случайное одноразовое наблюдение. этот спуф может длится месяцами, годами. и провайдерам пофиг. мне приходилось придумывать методы выявления подобного трафика, чтобы не засыпать чужие сервера левыми пакетами. это реальность, а не ваши теории. и про незаспуфленный src ip расскажите сказки кому-нибудь другому. а то даже теоретически тут у вас лажа выходит.

ну вот кто сталкивался с реальным трафиком в сети - тот знает. только диванные теоретики кудахтают про правила и стандарты.

По-хорошему, провайдер должен дропать такие пакеты. Но в теории может сработать.

В отличие от вас, я не утверждаю что ВСЕ (не) фильтруют.

Надо же, а «мальчик исправился». :)
Во первых не гоже на даму ругаться. Во вторых она все правильно написала. В третьих рекомендую перечитать топик прежде чем вкидывать на одно сообщение.

тех, что не фильтруют, более чем достаточно. причём как за рубежом, так и в нашей эрефии. спуф идёт сотнями сообщений в секунду. это фоновый режим, когда нет атак. если начинается атака могут валить десятки тысяч пакетов в секунду на каждый сервер (а серверов в мире дохрена) и если не фильтровать, то атакуемый сервер просто упадёт под наплывом «ответов». обычный amplification со спуфом.

также со спуфом идёт syn-флуд и многие другие атаки мелкими пакетами.

Всё-тки праздник, пусть уж отмечают.

Поржал:

«Хотя я пробовал с домашнего компа»

Логично: Если подделал обратный IP, То чего ждать ответа? :))

Ему на сервер пакет не доходит.

Ну не хакер совсем. :))

А как можно узнать реальный обратный адрес или просто от балды написанный случайный?

А сами как думает? На примере бумажных писем, пишем «кому» и пишем «от кого» (обратный адрес). «От кого» же можно любой написать, хоть «пять шагов на север от старой березы, деревня замутовка, района отфиговка»

Конечно можно. А еще ОБОЖЕБОЖЕ MAC можно подменить! Почитай литературу по теме. Много интересного для себя откроешь. А так вообще если подменяешь отправителя, то на подмененный адрес уходит ответ. Зря удивляешься.

Если берем 2 хоста в вакууме - никак. Если ты админишь сеть, то вариантов очень много(в пределах твоей сети).