O que é falsificação de IP?

Pacotes de IP falsificados com endereços de origem forjados são frequentemente usados em ataques com o objetivo de evitar a detecção.

Share facebook icon linkedin icon twitter icon email icon

Falsificação de IP

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir falsificação de IP
  • Descrever como a falsificação de IP é usada em ataques de DDoS
  • Descrever uma forma de defesa contra falsificação de IP

O que é falsificação de IP?

Falsificação de IP é a criação de pacotes de Internet Protocol (IP) com endereços de origem modificados para ocultar a identidade do remetente, para fingir ser outro sistema de computador ou pelos dois motivos. É uma técnica usada frequentemente por criminosos para começar ataques de DDoS contra um dispositivo alvo ou contra a infraestrutura ao seu redor.


Enviar e receber pacotes IP é a principal forma que computadores e outros dispositivos em rede usam para se comunicarem e constitui a base da Internet moderna. Todos os pacotes IP contêm um cabeçalho que precede o corpo do pacote e traz informações de roteamento importantes, inclusive o endereço de origem. Em um pacote normal, o endereço IP de origem é o endereço do remetente do pacote. Se o pacote tiver sido falsificado, o endereço de origem será falso.

Ataque de DDoS de falsificação de IP

A falsificação de IP é semelhante a um invasor enviar um pacote a alguém com o endereço de retorno errado. Se o destinatário do pacote desejar parar o envio de pacotes do remetente, bloquear todos os pacotes do endereço falso terá pouco proveito, pois o endereço de retorno será alterado facilmente. Semelhantemente, se o destinatário desejar responder ao endereço de retorno, o seu pacote de resposta será encaminhado a alguém diferente do remetente real. A capacidade de falsificar os endereços de pacotes é a principal vulnerabilidade explorada por muitos ataques de DDoS.


Frequentemente, ataques de DDoS usarão a falsificação com o objetivo de sobrecarregar um alvo com tráfego e, ao mesmo tempo, disfarçar a identidade da origem mal-intencionada, evitando esforços de mitigação. Se o endereço IP de origem for falsificado e continuamente aleatório, bloquear solicitações mal-intencionadas se tornará difícil. A falsificação de IP também torna difícil que a polícia e equipes de segurança cibernética rastreiem o perpetrador do ataque.


A falsificação também é usada como disfarce como outro dispositivo para que as respostas sejam enviadas ao respectivo dispositivo alvo. Ataques volumétricos, como amplificação de NTP e amplificação de DNS, usam essa vulnerabilidade. A capacidade de modificar o IP de origem é inerente ao modelo TCP/IP, isso o torna uma preocupação de segurança permanente.

Tangencial a ataques de DDoS, a falsificação pode ser realizada com o objetivo de se disfarçar como outro dispositivo para evitar a autenticação e obter acesso ou “sequestrar” a sessão de um usuário.

Como se proteger contra falsificação de IP (filtragem de pacotes)

Embora a falsificação de IP não possa ser prevenida, podem ser tomadas medidas para interromper a infiltração de pacotes falsificados na rede. Uma defesa muito comum contra a falsificação é a filtragem de entrada, resumida no documento BCP38 (Melhor Prática Comum). A filtragem de entrada é uma forma de filtrar pacotes geralmente implantada em um dispositivo na borda da rede, que examina pacotes de IP de entrada e verifica os cabeçalhos da sua origem. Se os cabeçalhos de origem dos pacotes não coincidirem com a origem, ou se parecerem suspeitos de qualquer outra forma, os pacotes serão rejeitados. Algumas redes também implantarão filtragem de saída, que examina pacotes de IP que saem da rede, para garantir que estes têm cabeçalhos da origem legítima e prevenir que alguém na rede lance um ataque malicioso de saída usando falsificação de IP.