Pacotes de IP falsificados com endereços de origem forjados são frequentemente usados em ataques com o objetivo de evitar a detecção.
Após ler este artigo, você será capaz de:
Copiar o link do artigo
Falsificação de IP é a criação de pacotes de internet Protocol (IP) com endereços de origem modificados para ocultar a identidade do remetente, fingir ser outro sistema de computador ou as duas coisas. É uma técnica usada com frequência por agentes mal-intencionados para invocar ataques de DDoS contra um dispositivo alvo ou a infraestrutura que o rodeia.
O envio e recebimento de pacotes IP são a principal forma que computadores e outros dispositivos em rede usam para se comunicar e constituem a base da internet moderna. Todos os pacotes IP contêm um cabeçalho que precede o corpo do pacote e traz informações de roteamento importantes, inclusive o endereço de origem. Em um pacote normal, o endereço IP de origem é o endereço do remetente do pacote. Se o pacote tiver sido falsificado, o endereço de origem será falso.
A falsificação de IP é semelhante a um invasor enviar um pacote a alguém com o endereço de devolução errado. Se o destinatário do pacote desejar impedir o remetente de lhe enviar pacotes, bloquear todos os pacotes do endereço falso terá pouco efeito, pois o endereço de devolução é alterado com facilidade. Da mesma forma, se o destinatário desejar responder para o endereço do remetente, seu pacote de resposta será encaminhado a alguém diferente do remetente real. A capacidade de falsificar endereços de pacotes é uma vulnerabilidade importante explorada por muitos ataques de DDoS.
Com frequência, os ataques de DDoS usam a falsificação com o objetivo de sobrecarregar um alvo com excesso de tráfego e, ao mesmo tempo, mascarar a identidade da origem mal-intencionada, evitando os esforços de mitigação. Se o endereço IP de origem for falsificado e continuamente randomizado, isso irá dificultar o bloqueio de solicitações mal-intencionadas. A falsificação de IP também dificulta o trabalho da polícia de das equipes de segurança cibernética no sentido de rastrear o autor do ataque.
A falsificação também é usada para se fazer passar por outro dispositivo e dessa forma, fazer com que as respostas sejam enviadas para o dispositivo alvo. Ataques volumétricos, como a amplificação de NTP e a amplificação de DNS, aproveitam essa vulnerabilidade. A capacidade de modificar o IP de origem é inerente ao modelo TCP/IP, o que o torna uma preocupação de segurança permanente.
De forma semelhante aos ataques de DDoS, a falsificação pode ser realizada com o objetivo de se disfarçar de outro dispositivo para evitar a autenticação e obter acesso à sessão de um usuário, ou “sequestrá-la” .
Embora a falsificação de IP não possa ser evitada, é possível adotar medidas para interromper a infiltração de pacotes falsificados na rede. Uma defesa muito comum contra a falsificação é a filtragem de entrada, descrita no documento BCP38 (documento sobre as Boas Práticas Comuns). A filtragem de entrada é uma forma de filtragem de pacotes geralmente implantada em um dispositivo na borda de rede que examina os pacotes de IP de entrada e verifica seus cabeçalhos de origem. Se os cabeçalhos de origem desses pacotes não coincidirem com sua origem ou parecerem suspeitos, os pacotes serão rejeitados. Algumas redes também optam por implantar a filtragem de saída, que examina pacotes de IP que saem da rede a fim de garantir que esses pacotes tenham cabeçalhos de origem legítimos e evitar que alguém da rede lance um ataque malicioso na saída usando uma falsificação de IP.
Vendas
Sobre ataques DDoS
ataques DDoS
Ferramentas contra ataques DDoS
Glossário de DDoS
Navegação no Centro de Aprendizagem