Falsificació d'adreces IP
Model TCP/IP per capes |
---|
Xarxes informàtiques |
En xarxes d'ordinadors, la falsificació d'adreces IP o falsificació d'IP és la creació de paquets de protocol d'Internet (IP) amb una adreça IP d'origen falsa, amb la finalitat de suplantar la identitat d'un altre sistema informàtic.[1]
Rerefons
[modifica]El protocol bàsic per enviar dades a través de la xarxa d'Internet i moltes altres xarxes d'ordinadors és el Protocol d'Internet (IP). El protocol especifica que cada paquet IP ha de tenir una capçalera que contingui (entre altres coses) l'adreça IP del remitent del paquet. L'adreça IP d'origen és normalment l'adreça des de la qual s'ha enviat el paquet, però l'adreça del remitent a la capçalera es pot alterar, de manera que al destinatari sembli que el paquet prové d'una altra font.
El protocol requereix que l'ordinador receptor enviï una resposta a l'adreça IP d'origen, per tant, la falsificació s'utilitza principalment quan l'emissor pot anticipar la resposta de la xarxa o no li importa la resposta.
L'adreça IP d'origen només proporciona informació limitada sobre el remitent. Pot proporcionar informació general sobre la regió, la ciutat i el poble quan es va enviar el paquet. No proporciona informació sobre la identitat del remitent o l'ordinador que s'utilitza.[2]
Aplicacions
[modifica]La falsificació d'adreces IP que implica l'ús d'una adreça IP de confiança la poden utilitzar els intrusos de la xarxa per superar les mesures de seguretat de la xarxa, com ara l'autenticació basada en adreces IP. Aquest tipus d'atac és més efectiu quan existeixen relacions de confiança entre màquines. Per exemple, és comú en algunes xarxes corporatives que els sistemes interns confiïn els uns en els altres, de manera que els usuaris poden iniciar sessió sense un nom d'usuari o contrasenya sempre que es connectin des d'una altra màquina de la xarxa interna, cosa que requeriria que ja estiguin connectats. Mitjançant la falsificació d'una connexió d'una màquina de confiança, un atacant de la mateixa xarxa pot accedir a la màquina de destinació sense autenticació.
La falsificació d'adreces IP s'utilitza amb més freqüència en atacs de denegació de servei,[3] on l'objectiu és inundar l'objectiu amb un volum aclaparador de trànsit i a l'atacant no li importa rebre respostes als paquets d'atac. Els paquets amb adreces IP falsificades són més difícils de filtrar, ja que sembla que cada paquet falsificat prové d'una adreça diferent i amaguen la veritable font de l'atac. Els atacs de denegació de servei que utilitzen la falsificació solen triar a l'atzar adreces de tot l'espai d'adreces IP, encara que els mecanismes de falsificació més sofisticats poden evitar adreces no encaminables o parts no utilitzades de l'espai d'adreces IP. La proliferació de grans botnets fa que la falsificació sigui menys important en els atacs de denegació de servei, però els atacants normalment tenen la falsificació disponible com a eina, si volen utilitzar-la, de manera que les defenses contra els atacs de denegació de servei que es basen en la validesa de la IP font. L'adreça dels paquets d'atac pot tenir problemes amb els paquets falsificats. Backscatter, una tècnica que s'utilitza per observar l'activitat d'atac de denegació de servei a Internet, es basa en l'ús que fan els atacants de la falsificació d'IP per a la seva eficàcia.[4]
Serveis vulnerables a la falsificació d'IP
[modifica]Configuració i serveis que són vulnerables a la falsificació d'IP:
- RPC (Serveis de trucades de procediment remot)
- Qualsevol servei que utilitzi l'autenticació d'adreces IP
- La suite de serveis R (rlogin, rsh, etc.)
Defensa contra atacs de falsificació
[modifica]El filtratge de paquets és una defensa contra els atacs de falsificació d'IP. La passarel·la a una xarxa normalment realitza un filtratge d'entrada, que és el bloqueig de paquets de fora de la xarxa amb una adreça d'origen dins de la xarxa. Això evita que un atacant extern falsi l'adreça d'una màquina interna. Idealment, la passarel·la també faria un filtratge de sortida en paquets sortints, que és el bloqueig de paquets des de l'interior de la xarxa amb una adreça d'origen que no es troba dins. Això impedeix que un atacant dins de la xarxa que realitza un filtratge llanci atacs de falsificació d'IP contra màquines externes. Un sistema de detecció d'intrusions (IDS) és un ús comú del filtratge de paquets, que s'ha utilitzat per protegir els entorns per compartir dades a través d'enfocaments d'IDS basats en xarxa i en host.
Referències
[modifica]- ↑ Tanase, Matthew. «IP Spoofing: An Introduction» (en anglès). Symantec, 10-03-2003. [Consulta: 25 setembre 2015].
- ↑ «IP spoofing: What is it and how does it work?» (en anglès americà). [Consulta: 18 novembre 2023].
- ↑ Veeraraghavan, Prakash; Hanna, Dalal; Pardede, Eric (en anglès) Electronics, 9, 9, 14-09-2020, pàg. 1510. DOI: 10.3390/electronics9091510. ISSN: 2079-9292 [Consulta: free].
- ↑ «GRIN – Today's Impact on Communication System by IP Spoofing and Its Detection and Prevention» (en anglès). www.grin.com. [Consulta: 21 juliol 2020].