¿Qué es la suplantación de IP?

Los paquetes de IP suplantado con direcciones fuente falsificadas suelen utilizarse en ataques con el objetivo de evitar la detección.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir la suplantación de IP
  • Describir cómo se utiliza la suplantación de IP en ataques DDoS
  • Describir una forma de defenderse de la suplantación de IP

Copiar enlace del artículo

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) con una dirección de origen modificada para poder ocultar la identidad del emisor, suplantar a otro sistema informático o ambas cosas. Es una técnica que suelen utilizar los agentes maliciosos para implementar ataques DDoS contra un dispositivo de destino o la infraestructura circundante.

El envío y la recepción de paquetes de IP es una de las principales formas de comunicación de los ordenadores y otros dispositivos en red, y constituye la base del Internet moderno. Todos los paquetes de IP incluyen un encabezado que precede al cuerpo del paquete y contiene información de enrutamiento importante, incluida la dirección de origen. En un paquete normal, la dirección IP de origen es la dirección del emisor del paquete. Si el paquete se ha suplantado, la dirección de origen estará falsificada.

Ataque DDoS de suplantación de IP

La suplantación de IP es comparable con un atacante que envía un paquete a alguien con la dirección de retorno incorrecta. Si la persona que recibe el paquete quiere evitar que el remitente le envíe paquetes, no servirá de mucho bloquear todos los paquetes que provengan de la dirección fraudulenta, ya que la dirección de devolución se puede cambiar con facilidad. A su vez, si el receptor quiere responder a la dirección de devolución, su paquete de respuesta irá a un lugar diferente al del remitente real. La capacidad de suplantar las direcciones de los paquetes es una vulnerabilidad básica de la que se aprovechan muchos ataques DDoS.

Los ataques DDoS utilizarán a menudo suplantación de identidad con el objetivo de sobrecargar a un objetivo con tráfico a la vez que enmascaran la identidad de la fuente maliciosa, lo que previene los esfuerzos de mitigación. Si se falsifica y se hace aleatoria de forma continua la dirección IP de origen, será más complicado el bloqueo de solicitudes maliciosas. La suplantación de IP también dificulta que los equipos de fuerzas policiales y de ciberseguridad puedan localizar al autor del ataque.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

En relación con los ataques DDoS, la suplantación también puede llevarse a cabo con el objetivo de suplantar otro dispositivo para poder eludir la autenticación y obtener acceso o “apoderarse” de la sesión de un usuario.

Cómo protegerse de la suplantación de IP (filtrado de paquetes)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.

Ventas