O que é falsificação de IP?

Pacotes de IP falsificados com endereços de origem forjados são frequentemente usados em ataques com o objetivo de evitar a detecção.

Share facebook icon linkedin icon twitter icon email icon

Falsificação de IP

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir falsificação de IP
  • Descrever como a falsificação de IP é usada em ataques de DDoS
  • Descrever uma forma de defesa contra falsificação de IP

O que é falsificação de IP?

Falsificação de IP é a criação de pacotes de internet Protocol (IP) com endereços de origem modificados para ocultar a identidade do remetente, fingir ser outro sistema de computador ou as duas coisas. É uma técnica usada com frequência por agentes mal-intencionados para invocar ataques de DDoS contra um dispositivo alvo ou a infraestrutura que o rodeia.


O envio e recebimento de pacotes IP são a principal forma que computadores e outros dispositivos em rede usam para se comunicar e constituem a base da internet moderna. Todos os pacotes IP contêm um cabeçalho que precede o corpo do pacote e traz informações de roteamento importantes, inclusive o endereço de origem. Em um pacote normal, o endereço IP de origem é o endereço do remetente do pacote. Se o pacote tiver sido falsificado, o endereço de origem será falso.

Ataque de DDoS por falsificação de IP

A falsificação de IP é semelhante a um invasor enviar um pacote a alguém com o endereço de devolução errado. Se o destinatário do pacote desejar impedir o remetente de lhe enviar pacotes, bloquear todos os pacotes do endereço falso terá pouco efeito, pois o endereço de devolução é alterado com facilidade. Da mesma forma, se o destinatário desejar responder para o endereço do remetente, seu pacote de resposta será encaminhado a alguém diferente do remetente real. A capacidade de falsificar endereços de pacotes é uma vulnerabilidade importante explorada por muitos ataques de DDoS.


Com frequência, os ataques de DDoS usam a falsificação com o objetivo de sobrecarregar um alvo com excesso de tráfego e, ao mesmo tempo, mascarar a identidade da origem mal-intencionada, evitando os esforços de mitigação. Se o endereço IP de origem for falsificado e continuamente randomizado, isso irá dificultar o bloqueio de solicitações mal-intencionadas. A falsificação de IP também dificulta o trabalho da polícia de das equipes de segurança cibernética no sentido de rastrear o autor do ataque.


A falsificação também é usada como um disfarce, com a origem fingindo ser um outro dispositivo para que as respostas não sejam enviadas para ele, mas sim para o dispositivo alvo. Ataques volumétricos, como amplificação de NTP e amplificação de DNS, aproveitam essa vulnerabilidade. A capacidade de modificar o IP de origem é inerente ao modelo TCP/IP, o que o torna uma preocupação de segurança permanente.

De forma semelhante aos ataques de DDoS, a falsificação pode ser realizada com o objetivo de se disfarçar de outro dispositivo para evitar a autenticação e obter acesso à sessão de um usuário, ou “sequestrá-la” .

Como se proteger contra a falsificação de IP (filtragem de pacotes)

Embora a falsificação de IP não possa ser evitada, podem ser adotadas medidas para interromper a infiltração de pacotes falsificados na rede. Uma defesa muito comum contra a falsificação é a filtragem de entrada, descrita no documento BCP38 (um documento de Boas Práticas Comuns). A filtragem de entrada é uma forma de filtrar pacotes geralmente implantada em um dispositivo na borda da rede que examina os pacotes de IP de entrada e verifica seus cabeçalhos de origem. Se os cabeçalhos de origem dos pacotes não coincidirem com sua origem ou parecerem suspeitos de qualquer outra forma, os pacotes serão rejeitados. Algumas redes também optam por implantar a filtragem de saída, que examina pacotes de IP que saem da rede para garantir que tenham cabeçalhos de origem legítimos e impedir que alguém da rede lance um ataque malicioso na saída usando uma falsificação de IP.