Поле Source Address в заголовке IP-пакета служит для обозначения исходного узла, отправившего пакет. Это одно из полей, которое проверяется в фильтре пакетов. Существуют более и менее доверенные узлы. Фильтр может быть настроен так, чтобы он пропускал или блокировал пакеты в зависимости от адреса узла или сети.
Как убедиться в правильности адреса источника? В Internet имеется целый ряд бесплатных программ, позволяющих нарушителю посылать пакеты с произвольным адресом источника. В результате такой подмены брандмауэр пропустит созданные нарушителем пакеты, считая, что они исходят от доверенного компьютера или сети.
В качестве доверенного узла может выступать какой-либо узел в Internet или локальной сети. Если поддельный IP-адрес выглядит как адрес узла внутри вашей сети, стоит настроить фильтр пакетов так, чтобы он просто отбрасывал все внешние пакеты, адрес источника в которых принадлежит к внутренней сети. Следует сделать это на всех маршрутизаторах, соединенных с внешней сетью, поскольку на доверенные соединения между узлами локальной сети обычно накладываются менее строгие ограничения, чем на соединения с узлами в Internet.
Конечно же, если такой пакет все-таки пройдет сквозь брандмауэр и адресат ответит на него, то ответ будет отправлен узлу, заданному в поле адреса источника, так что атакующий не сможет его получить. Но во многих случаях это и не нужно. Так, если раньше ему удалось внедрить в сеть «троянского коня», ожидающего подключения к порту с заданным номером, он может применить этот метод для передачи пакета, получение которого заставит вредоносную программу выполнить какие-либо действия.
Если хакер уже имеет некоторые сведения о вашей сети и располагает достаточным временем, то не исключено, что результатом подмены IP-адреса станет более серьезная атака. При этом отключается какой-либо узел в Internet, известный хакеру в качестве доверенного с точки зрения вашей сети, а узел хакера выступает под видом этого доверенного узла. Доверенный узел обладает специальным доступом к вашей сети, поэтому, если атакующему удастся поместить в нее пакет, выглядящий как пришедший от доверенного узла, он может причинить серьезные разрушения. Доверенный узел выводится из строя при помощи атаки типа «отказ от обслуживания», после чего на ваш узел посылается пакет, который кажется поступившим от доверенного узла.
Атаки подобного типа иногда включают в себя подбор последовательного номера пакета, каким он был бы в непрерывном соединении. Это не слишком сложно, если атакующий хорошо разбирается в работе протокола TCP/IP и его конкретной реализации в операционной системе вашего компьютера.
Поскольку защищенный канал связи требуется часто, а брандмауэр стоит на границе сети и перехватывает весь трафик, многие брандмауэры имеют функцию создания VPN-соединения.
