O que é falsificação de IP?

Pacotes de IP falsificados com endereços de origem forjados são frequentemente usados em ataques com o objetivo de evitar a detecção.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir falsificação de IP
  • Descrever como a falsificação de IP é usada em ataques de DDoS
  • Descrever uma forma de defesa contra falsificação de IP

Copiar o link do artigo

O que é falsificação de IP?

Falsificação de IP é a criação de pacotes de internet Protocol (IP) com endereços de origem modificados para ocultar a identidade do remetente, fingir ser outro sistema de computador ou as duas coisas. É uma técnica usada com frequência por agentes mal-intencionados para invocar ataques de DDoS contra um dispositivo alvo ou a infraestrutura que o rodeia.

O envio e recebimento de pacotes IP são a principal forma que computadores e outros dispositivos em rede usam para se comunicar e constituem a base da internet moderna. Todos os pacotes IP contêm um cabeçalho que precede o corpo do pacote e traz informações de roteamento importantes, inclusive o endereço de origem. Em um pacote normal, o endereço IP de origem é o endereço do remetente do pacote. Se o pacote tiver sido falsificado, o endereço de origem será falso.

A falsificação de IP é semelhante a um invasor enviar um pacote a alguém com o endereço de devolução errado. Se o destinatário do pacote desejar impedir o remetente de lhe enviar pacotes, bloquear todos os pacotes do endereço falso terá pouco efeito, pois o endereço de devolução é alterado com facilidade. Da mesma forma, se o destinatário desejar responder para o endereço do remetente, seu pacote de resposta será encaminhado a alguém diferente do remetente real. A capacidade de falsificar endereços de pacotes é uma vulnerabilidade importante explorada por muitos ataques de DDoS.

Com frequência, os ataques de DDoS usam a falsificação com o objetivo de sobrecarregar um alvo com excesso de tráfego e, ao mesmo tempo, mascarar a identidade da origem mal-intencionada, evitando os esforços de mitigação. Se o endereço IP de origem for falsificado e continuamente randomizado, isso irá dificultar o bloqueio de solicitações mal-intencionadas. A falsificação de IP também dificulta o trabalho da polícia de das equipes de segurança cibernética no sentido de rastrear o autor do ataque.

A falsificação também é usada para se fazer passar por outro dispositivo e dessa forma, fazer com que as respostas sejam enviadas para o dispositivo alvo. Ataques volumétricos, como a amplificação de NTP e a amplificação de DNS, aproveitam essa vulnerabilidade. A capacidade de modificar o IP de origem é inerente ao modelo TCP/IP, o que o torna uma preocupação de segurança permanente.

De forma semelhante aos ataques de DDoS, a falsificação pode ser realizada com o objetivo de se disfarçar de outro dispositivo para evitar a autenticação e obter acesso à sessão de um usuário, ou “sequestrá-la” .

Como se proteger contra a falsificação de IP (filtragem de pacotes)

Embora a falsificação de IP não possa ser evitada, é possível adotar medidas para interromper a infiltração de pacotes falsificados na rede. Uma defesa muito comum contra a falsificação é a filtragem de entrada, descrita no documento BCP38 (documento sobre as Boas Práticas Comuns). A filtragem de entrada é uma forma de filtragem de pacotes geralmente implantada em um dispositivo na borda de rede que examina os pacotes de IP de entrada e verifica seus cabeçalhos de origem. Se os cabeçalhos de origem desses pacotes não coincidirem com sua origem ou parecerem suspeitos, os pacotes serão rejeitados. Algumas redes também optam por implantar a filtragem de saída, que examina pacotes de IP que saem da rede a fim de garantir que esses pacotes tenham cabeçalhos de origem legítimos e evitar que alguém da rede lance um ataque malicioso na saída usando uma falsificação de IP.