En las redes informáticas , la suplantación de direcciones IP o IP spoofing es la creación de paquetes de Protocolo de Internet (IP) con una dirección IP de origen falsa , con el fin de hacerse pasar por otro sistema informático. [1]
El protocolo básico para enviar datos a través de la red Internet y muchas otras redes informáticas es el Protocolo de Internet (IP). El protocolo especifica que cada paquete IP debe tener un encabezado que contenga (entre otras cosas) la dirección IP del remitente del paquete. La dirección IP de origen normalmente es la dirección desde la que se envió el paquete, pero la dirección del remitente en el encabezado se puede modificar para que al destinatario le parezca que el paquete proviene de otra fuente.
El protocolo requiere que la computadora receptora envíe una respuesta a la dirección IP de origen, por lo que la suplantación de identidad se utiliza principalmente cuando el remitente puede anticipar la respuesta de la red o no le importa la respuesta.
La dirección IP de origen proporciona sólo información limitada sobre el remitente. Puede proporcionar información general sobre la región, ciudad y pueblo cuando se envió el paquete. No proporciona información sobre la identidad del remitente ni del ordenador utilizado.
Los intrusos de la red pueden utilizar la suplantación de direcciones IP que implica el uso de una dirección IP confiable para superar las medidas de seguridad de la red, como la autenticación basada en direcciones IP. Este tipo de ataque es más eficaz cuando existen relaciones de confianza entre máquinas. Por ejemplo, es común en algunas redes corporativas que los sistemas internos confíen entre sí, de modo que los usuarios puedan iniciar sesión sin un nombre de usuario o contraseña siempre que se conecten desde otra máquina en la red interna, lo que requeriría que ya hayan iniciado sesión. Al falsificar una conexión desde una máquina confiable, un atacante en la misma red puede acceder a la máquina objetivo sin autenticación.
La suplantación de direcciones IP se utiliza con mayor frecuencia en ataques de denegación de servicio , [2] donde el objetivo es inundar al objetivo con un volumen abrumador de tráfico y al atacante no le importa recibir respuestas a los paquetes de ataque. Los paquetes con direcciones IP falsificadas son más difíciles de filtrar ya que cada paquete falsificado parece provenir de una dirección diferente y ocultan la verdadera fuente del ataque. Los ataques de denegación de servicio que utilizan suplantación de identidad generalmente eligen aleatoriamente direcciones de todo el espacio de direcciones IP, aunque mecanismos de suplantación de identidad más sofisticados pueden evitar direcciones no enrutables o partes no utilizadas del espacio de direcciones IP. La proliferación de grandes botnets hace que la suplantación de identidad sea menos importante en los ataques de denegación de servicio, pero los atacantes normalmente tienen la suplantación de identidad disponible como herramienta, si quieren utilizarla, por lo que las defensas contra los ataques de denegación de servicio que dependen de la validez de la IP de origen La dirección en los paquetes de ataque puede tener problemas con los paquetes falsificados.
En los ataques DDoS, el atacante puede decidir falsificar la dirección IP de origen en direcciones generadas aleatoriamente, de modo que la máquina víctima no pueda distinguir entre los paquetes falsificados y los paquetes legítimos. Luego, las respuestas se enviarían a direcciones aleatorias que no terminan en ningún lugar en particular. Estos paquetes que van a ninguna parte se denominan retrodispersión , y existen telescopios de red que monitorean la retrodispersión para medir la intensidad estadística de los ataques DDoS en Internet a lo largo del tiempo. [3]
El uso de paquetes con una dirección IP de origen falsa no siempre es evidencia de intenciones maliciosas. Por ejemplo, en las pruebas de rendimiento de sitios web, se pueden crear cientos o incluso miles de "vusers" (usuarios virtuales), cada uno de los cuales ejecuta un script de prueba en el sitio web bajo prueba, para simular lo que sucederá cuando el sistema entre en funcionamiento. y una gran cantidad de usuarios inician sesión simultáneamente.
Dado que cada usuario normalmente tendrá su propia dirección IP, los productos de prueba comerciales (como HP LoadRunner , WebLOAD y otros) pueden utilizar la suplantación de IP, permitiendo a cada usuario también su propia "dirección de remitente".
La suplantación de IP también se utiliza en algunos equilibrios de carga del lado del servidor. Permite que el equilibrador de carga distribuya el tráfico entrante, pero no es necesario que esté en la ruta de regreso de los servidores al cliente. Esto ahorra un salto de red a través de los conmutadores y el equilibrador de carga, así como la carga de procesamiento de mensajes salientes en el equilibrador de carga. La salida suele tener más paquetes y bytes, por lo que los ahorros son significativos. [4] [5]
Configuración y servicios vulnerables a la suplantación de IP:
El filtrado de paquetes es una defensa contra los ataques de suplantación de IP . La puerta de enlace a una red generalmente realiza un filtrado de ingreso , que consiste en bloquear paquetes provenientes del exterior de la red con una dirección de origen dentro de la red. Esto evita que un atacante externo suplante la dirección de una máquina interna. Idealmente, la puerta de enlace también realizaría filtrado de salida en paquetes salientes, que consiste en bloquear paquetes desde el interior de la red con una dirección de origen que no esté dentro. Esto evita que un atacante dentro de la red que realiza filtrado lance ataques de suplantación de IP contra máquinas externas. Un sistema de detección de intrusiones (IDS) es un uso común del filtrado de paquetes, que se ha utilizado para proteger los entornos para compartir datos a través de la red y enfoques IDS basados en host. [ cita necesaria ]
También se recomienda diseñar protocolos y servicios de red de modo que no dependan de la dirección IP de origen para la autenticación.
Algunos protocolos de capa superior tienen su propia defensa contra ataques de suplantación de IP. Por ejemplo, el Protocolo de control de transmisión (TCP) utiliza números de secuencia negociados con la máquina remota para garantizar que los paquetes que llegan sean parte de una conexión establecida. Dado que el atacante normalmente no puede ver ningún paquete de respuesta, se debe adivinar el número de secuencia para secuestrar la conexión. Sin embargo, la mala implementación en muchos sistemas operativos y dispositivos de red antiguos significa que se pueden predecir los números de secuencia TCP.
El término suplantación de identidad también se utiliza a veces para referirse a la falsificación de encabezados , la inserción de información falsa o engañosa en encabezados de correos electrónicos o noticias de red . Los encabezados falsificados se utilizan para engañar al destinatario o a las aplicaciones de red sobre el origen de un mensaje. Esta es una técnica común de los spammers y sporgers , que desean ocultar el origen de sus mensajes para evitar ser rastreados.