What is IP spoofing?

Los paquetes de IP suplantada con direcciones de origen falsificadas suelen usarse en ataques con el propósito de evitar la detección.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir la suplantación de IP
  • Describir cómo se usa la suplantación de IP en los ataques DDoS
  • Describir una manera de defenderse ante la suplantación de IP

Copiar el enlace del artículo

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) con una dirección de origen modificada para esconder la identidad del remitente, hacerse pasar por otro sistema informático o ambos. Es una técnica que suelen usar actores maliciosos para invocar ataques DDoS contra un dispositivo fijado como objetivo o la infraestructura circundante.

Enviar y recibir paquetes IP es la principal forma en que las computadoras en red y otros dispositivos se comunican, y constituye la base de la Internet moderna. Todos los paquetes IP contienen un encabezado que precede al cuerpo del paquete y cuentan con información de redireccionamiento importante, incluida la dirección de origen. En un paquete normal, la dirección IP de origen es la dirección del remitente del paquete. Si se ha suplantado el paquete, se falsificará la dirección de origen.

Ataque DDoS de suplantación de IP

La suplantación de IP es análoga a un atacante que envía un paquete a alguien con la dirección del remitente equivocada. Si la persona que recibe el paquete quiere impedir que el remitente envíe paquetes, bloquear todos los paquetes de la dirección falsa no ayudará mucho, ya que esta puede cambiarse con facilidad. En relación con lo anterior, si el receptor quiere responder a la dirección del remitente, su paquete de respuesta no irá al verdadero remitente, sino a otra parte. La capacidad de suplantar las direcciones de los paquetes es una de las vulnerabilidades principales que explotan muchos ataques DDoS.

A menudo, los ataques DDoS utilizarán la suplantación con la meta de abrumar al objetivo con tráfico, mientras ocultan la identidad del origen malicioso y evitan los esfuerzos de mitigación. Si la dirección IP de origen se falsifica y se aleatoriza continuamente, se dificulta el bloqueo de las solicitudes maliciosas. La suplantación de IP también complica el trabajo de la justicia y los equipos de seguridad cibernética para rastrear al perpetrador del ataque.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

De forma tangencial a los ataques DDoS, la suplantación puede realizarse con el objeto de hacerse pasar por otro dispositivo para esquivar la autenticación e “interceptar” u obtener acceso a la sesión de un usuario.

Cómo protegerse contra la suplantación de IP (filtrado de paquetes)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.

Ventas