What is IP spoofing?

Negli attacchi vengono spesso utilizzati pacchetti IP contraffatti con indirizzi di origine simulati con l'obiettivo di evitare l’identificazione.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire l’IP Spoofing
  • Descrivere in che modo l’IP Spoofing viene utilizzato negli attacchi DDoS
  • Illustrare un modo di difesa contro l’IP Spoofing

Copia link dell'articolo

Che cos’è l’IP spoofing?

Per IP spoofing si intende la creazione di pacchetti IP (Internet Protocol) con un indirizzo sorgente modificato al fine di celare l'identità del mittente, fingersi un altro sistema informatico o entrambi. È una tecnica spesso utilizzata da malintenzionati per lanciare attacchi DDoS contro un dispositivo designato o l'infrastruttura circostante.

L'invio e la ricezione di pacchetti IP è un modo fondamentale di comunicazione tra computer in rete e altri dispositivi e costituisce la base del moderno Internet. Tutti i pacchetti IP contengono un'intestazione che precede il corpo del pacchetto e contiene importanti informazioni di instradamento, incluso l'indirizzo di origine. In un pacchetto normale, l'indirizzo IP di origine è l'indirizzo del mittente del pacchetto. Se il pacchetto viene contraffatto, l'indirizzo di origine viene falsificato.

Attacco DDoS tramite IP spoofing

L’IP spoofing equivale a inviare un pacchetto a qualcuno indicando un indirizzo di ritorno non corretto. Se la persona che riceve il pacchetto non desidera ricevere altri pacchetti dal mittente, sarà inutile bloccare tutti i pacchetti provenienti dall'indirizzo falsificato, poiché l'indirizzo di ritorno può essere facilmente modificato. Allo stesso modo, se il destinatario desidera rispondere all'indirizzo di ritorno, il pacchetto di risposta non raggiungerà il mittente reale. La capacità di contraffare gli indirizzi dei pacchetti è una vulnerabilità di base sfruttata per mettere a segno numerosi attacchi DDoS.

Gli attacchi DDoS utilizzano spesso lo spoofing con l'obiettivo di travolgere una vittima con del traffico mascherando l'identità della sorgente e prevenendo così gli sforzi di mitigazione. Se l'indirizzo IP di origine è falsificato e modificato di continuo in modo casuale, il blocco delle richieste ostili diventa difficile. La contraffazione dell’IP rende inoltre complesso per le forze dell'ordine e i team di cyber security rintracciare l'autore dell'attacco.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

Oltre agli attacchi DDoS, lo spoofing può anche avere l'obiettivo di mascherarsi al fine di eludere le tecniche dell'autenticazione e ottenere l'accesso o "assumere il controllo" della sessione di un utente.

Come proteggersi dall’IP spoofing (filtro dei pacchetti)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.