Che cos’è l’IP Spoofing?

Negli attacchi vengono spesso utilizzati pacchetti IP contraffatti con indirizzi di origine simulati con l'obiettivo di evitare l’identificazione.

Share facebook icon linkedin icon twitter icon email icon

IP Spoofing

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire l’IP Spoofing
  • Descrivere in che modo l’IP Spoofing viene utilizzato negli attacchi DDoS
  • Illustrare un modo di difesa contro l’IP Spoofing

Che cos’è l’IP spoofing?

Per IP spoofing si intende la creazione di pacchetti IP (Internet Protocol) con un indirizzo sorgente modificato al fine di celare l'identità del mittente, fingersi un altro sistema informatico o entrambi. È una tecnica spesso utilizzata da malintenzionati per lanciare attacchi DDoS contro un dispositivo designato o l'infrastruttura circostante.


L'invio e la ricezione di pacchetti IP è un modo fondamentale di comunicazione tra computer in rete e altri dispositivi e costituisce la base del moderno Internet. Tutti i pacchetti IP contengono un'intestazione che precede il corpo del pacchetto e contiene importanti informazioni di instradamento, incluso l'indirizzo di origine. In un pacchetto normale, l'indirizzo IP di origine è l'indirizzo del mittente del pacchetto. Se il pacchetto viene contraffatto, l'indirizzo di origine viene falsificato.

Attacco DDoS tramite IP spoofing

L’IP spoofing equivale a inviare un pacchetto a qualcuno indicando un indirizzo di ritorno non corretto. Se la persona che riceve il pacchetto non desidera ricevere altri pacchetti dal mittente, sarà inutile bloccare tutti i pacchetti provenienti dall'indirizzo falsificato, poiché l'indirizzo di ritorno può essere facilmente modificato. Allo stesso modo, se il destinatario desidera rispondere all'indirizzo di ritorno, il pacchetto di risposta non raggiungerà il mittente reale. La capacità di contraffare gli indirizzi dei pacchetti è una vulnerabilità di base sfruttata per mettere a segno numerosi attacchi DDoS.


Gli attacchi DDoS utilizzano spesso lo spoofing con l'obiettivo di travolgere una vittima con del traffico mascherando l'identità della sorgente e prevenendo così gli sforzi di mitigazione. Se l'indirizzo IP di origine è falsificato e modificato di continuo in modo casuale, il blocco delle richieste ostili diventa difficile. La contraffazione dell’IP rende inoltre complesso per le forze dell'ordine e i team di cyber security rintracciare l'autore dell'attacco.


Lo spoofing viene utilizzato anche per dissimulare la propria identità con quella di un altro dispositivo in modo che le risposte vengano inviate a quest’ultimo. Attacchi volumetrici quali l'amplificazione NTP e l'amplificazione DNS sfruttano proprio questa vulnerabilità. La possibilità di modificare l'IP di origine è insita nella struttura stessa del TCP/IP, rendendolo un problema di sicurezza costante.

Oltre agli attacchi DDoS, lo spoofing può anche avere l'obiettivo di mascherarsi al fine di eludere le tecniche dell'autenticazione e ottenere l'accesso o "assumere il controllo" della sessione di un utente.

Come proteggersi dall’IP spoofing (filtro dei pacchetti)

Sebbene non sia possibile prevenire l’IP spoofing, è però possibile adottare misure per impedire l'infiltrazione di pacchetti contraffatti in una rete. Una difesa molto comune contro lo spoofing è il filtro in ingresso, delineato in BCP38 (un documento riguardante le migliori prassi da adottare). Il filtro in ingresso è una forma di filtro dei pacchetti solitamente implementato in corrispondenza di un dispositivo lungo un perimetro della rete, che esamina i pacchetti IP in entrata e ne verifica le intestazioni di origine. Se le intestazioni riportate dai pacchetti non corrispondono alla loro origine o sembrano in altro modo sospette, i pacchetti vengono rifiutati. Alcune reti implementano anche il filtro in uscita, che scandaglia i pacchetti IP che escono dalla rete, accertandosi che abbiano header legittimi per impedire a chiunque all'interno della rete di lanciare un attacco dannoso in uscita utilizzando l’IP spoofing.