What is IP spoofing?

Pacotes de IP falsificados com endereços de origem forjados são frequentemente usados em ataques com o objetivo de evitar a detecção.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir falsificação de IP
  • Descrever como a falsificação de IP é usada em ataques de DDoS
  • Descrever uma forma de defesa contra falsificação de IP

Copiar o link do artigo

O que é falsificação de IP?

Falsificação de IP é a criação de pacotes de internet Protocol (IP) com endereços de origem modificados para ocultar a identidade do remetente, fingir ser outro sistema de computador ou as duas coisas. É uma técnica usada com frequência por agentes mal-intencionados para invocar ataques de DDoS contra um dispositivo alvo ou a infraestrutura que o rodeia.

O envio e recebimento de pacotes IP são a principal forma que computadores e outros dispositivos em rede usam para se comunicar e constituem a base da internet moderna. Todos os pacotes IP contêm um cabeçalho que precede o corpo do pacote e traz informações de roteamento importantes, inclusive o endereço de origem. Em um pacote normal, o endereço IP de origem é o endereço do remetente do pacote. Se o pacote tiver sido falsificado, o endereço de origem será falso.

Ataque de DDoS por falsificação de IP

A falsificação de IP é semelhante a um invasor enviar um pacote a alguém com o endereço de devolução errado. Se o destinatário do pacote desejar impedir o remetente de lhe enviar pacotes, bloquear todos os pacotes do endereço falso terá pouco efeito, pois o endereço de devolução é alterado com facilidade. Da mesma forma, se o destinatário desejar responder para o endereço do remetente, seu pacote de resposta será encaminhado a alguém diferente do remetente real. A capacidade de falsificar endereços de pacotes é uma vulnerabilidade importante explorada por muitos ataques de DDoS.

Com frequência, os ataques de DDoS usam a falsificação com o objetivo de sobrecarregar um alvo com excesso de tráfego e, ao mesmo tempo, mascarar a identidade da origem mal-intencionada, evitando os esforços de mitigação. Se o endereço IP de origem for falsificado e continuamente randomizado, isso irá dificultar o bloqueio de solicitações mal-intencionadas. A falsificação de IP também dificulta o trabalho da polícia de das equipes de segurança cibernética no sentido de rastrear o autor do ataque.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

De forma semelhante aos ataques de DDoS, a falsificação pode ser realizada com o objetivo de se disfarçar de outro dispositivo para evitar a autenticação e obter acesso à sessão de um usuário, ou “sequestrá-la” .

Como se proteger contra a falsificação de IP (filtragem de pacotes)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.