Che cos’è l’IP Spoofing?

I pacchetti IP contraffatti con indirizzi di origine simulati vengono spesso utilizzati negli attacchi con l'obiettivo di evitare l’identificazione.

Share facebook icon linkedin icon twitter icon email icon

Contraffazione dell’IP o IP Spoofing

Obiettivi Formativi

Dopo aver letto questo articolo sarai in grado di:

  • Definire l’IP Spoofing
  • Descrivere in che modo la contraffazione viene utilizzata negli attacchi DDoS
  • Illustrare un modo di difesa contro la contraffazione dell’IP

Che cos’è l’IP Spoofing?

Per IP spoofing si intende la creazione di pacchetti IP (Internet Protocol) con un indirizzo sorgente modificato al fine di celare l'identità del mittente, fingersi un altro sistema informatico o entrambi. È una tecnica spesso utilizzata da malintenzionati per lanciare attacchi DDoS contro un dispositivo designato o l'infrastruttura circostante.


L'invio e la ricezione di pacchetti IP è un modo fondamentale di comunicazione tra computer in rete e altri dispositivi e costituisce la base della moderna Internet. Tutti i pacchetti IP contengono un'intestazione che precede il corpo del pacchetto e contiene importanti informazioni di instradamento, incluso l'indirizzo di origine. In un pacchetto normale, l'indirizzo IP di origine è l'indirizzo del mittente del pacchetto. Se il pacchetto viene contraffatto, l'indirizzo di origine viene falsificato.

Attacco DDoS con IP Spoofing

La contraffazione dell’IP o IP Spoofing equivale a un malintenzionato che invia un pacchetto a qualcuno indicando un indirizzo di ritorno non corretto. Se la persona che riceve il pacchetto non desidera ricevere altri pacchetti dal mittente, sarà inutile bloccare tutti i pacchetti provenienti dall'indirizzo falsificato, poiché l'indirizzo di ritorno può essere facilmente modificato. Allo stesso modo, se il destinatario desidera rispondere all'indirizzo di ritorno, il pacchetto di risposta non raggiungerà il vero mittente. La capacità di contraffare gli indirizzi dei pacchetti è una vulnerabilità di base sfruttata da numerosi attacchi DDoS.


Gli attacchi DDoS utilizzeranno spesso lo spoofing con l'obiettivo di sopraffare una vittima con traffico mascherando l'identità della fonte dannosa e prevenendo così gli sforzi di mitigazione. Se l'indirizzo IP di origine è falsificato e modificato di continuo in modo casuale, il blocco delle richieste ostili diventa difficile. La contraffazione dell’IP rende inoltre complesso per le forze dell'ordine e i team dedicati alla sicurezza informatica rintracciare l'autore dell'attacco.


Lo spoofing viene utilizzato anche per fingersi un altro dispositivo in modo che le risposte vengano inviate invece a tale dispositivo. Attacchi volumetrici quali l'amplificazione NTP e l'amplificazione DNS sfruttano proprio questa vulnerabilità. La possibilità di modificare l'IP di origine è insita nella struttura stessa del TCP/IP, rendendolo un problema di sicurezza irrisolto.

Oltre agli attacchi DDoS, lo spoofing può anche avere l'obiettivo di fingersi un altro dispositivo al fine di eludere le tecniche dell'autenticazione e ottenere l'accesso o "assumere il controllo" della sessione di un utente.

Come proteggersi dalla contraffazione dell’IP (filtro pacchetti)

Sebbene non sia possibile prevenire l’IP Spoofing, è però possibile adottare misure per impedire l'infiltrazione di pacchetti contraffatti in una rete. Una difesa molto comune contro lo spoofing è il filtro in ingresso, delineato in BCP38 (un documento riguardante le migliori prassi da adottare). Il filtro in ingresso è una forma di filtro dei pacchetti solitamente implementato in corrispondenza di un dispositivo lungo un perimetro della rete, il quale esamina i pacchetti IP in entrata e ne verifica le intestazioni di origine. Se le intestazioni riportate dai pacchetti non corrispondono alla loro origine o sembrano altrimenti sospette, i pacchetti vengono rifiutati. Alcune reti implementano anche il filtro in uscita, che scruta i pacchetti IP che escono dalla rete, garantendo che tali pacchetti abbiano intestazioni legittime per impedire a qualcuno all'interno della rete di lanciare un attacco dannoso in uscita utilizzando l’IP Spoofing.