En redes informáticas , la suplantación de direcciones IP o IP spoofing es la creación de paquetes de Protocolo de Internet (IP) con una dirección IP de origen falsa , con el fin de hacerse pasar por otro sistema informático. [1]
El protocolo básico para enviar datos a través de la red de Internet y de muchas otras redes informáticas es el Protocolo de Internet (IP). El protocolo especifica que cada paquete IP debe tener un encabezado que contenga (entre otras cosas) la dirección IP del remitente del paquete. La dirección IP de origen normalmente es la dirección desde la que se envió el paquete, pero la dirección del remitente en el encabezado puede modificarse, de modo que al destinatario le parezca que el paquete proviene de otra fuente.
El protocolo requiere que la computadora receptora envíe una respuesta a la dirección IP de origen, por lo tanto, la suplantación se utiliza principalmente cuando el remitente puede anticipar la respuesta de la red o no le importa la respuesta.
La dirección IP de origen proporciona solo información limitada sobre el remitente. Puede proporcionar información general sobre la región, la ciudad y el pueblo desde donde se envió el paquete. No proporciona información sobre la identidad del remitente ni del ordenador utilizado.
Los intrusos en la red pueden utilizar la suplantación de direcciones IP mediante el uso de una dirección IP de confianza para burlar las medidas de seguridad de la red, como la autenticación basada en direcciones IP. Este tipo de ataque es más eficaz cuando existen relaciones de confianza entre las máquinas. Por ejemplo, es habitual en algunas redes corporativas que los sistemas internos confíen entre sí, de modo que los usuarios puedan iniciar sesión sin un nombre de usuario o contraseña siempre que se conecten desde otra máquina de la red interna, lo que requeriría que ya hayan iniciado sesión. Al suplantar una conexión desde una máquina de confianza, un atacante en la misma red puede acceder a la máquina de destino sin autenticación.
La suplantación de direcciones IP se utiliza con mayor frecuencia en ataques de denegación de servicio , [2] donde el objetivo es inundar el objetivo con un volumen abrumador de tráfico, y al atacante no le importa recibir respuestas a los paquetes de ataque. Los paquetes con direcciones IP suplantadas son más difíciles de filtrar ya que cada paquete suplantado parece provenir de una dirección diferente y ocultan la verdadera fuente del ataque. Los ataques de denegación de servicio que utilizan suplantación normalmente eligen direcciones aleatoriamente de todo el espacio de direcciones IP, aunque los mecanismos de suplantación más sofisticados pueden evitar direcciones no enrutables o porciones no utilizadas del espacio de direcciones IP. La proliferación de grandes botnets hace que la suplantación sea menos importante en los ataques de denegación de servicio, pero los atacantes normalmente tienen la suplantación disponible como herramienta, si quieren usarla, por lo que las defensas contra ataques de denegación de servicio que dependen de la validez de la dirección IP de origen en los paquetes de ataque podrían tener problemas con los paquetes suplantados.
En los ataques DDoS, el atacante puede decidir falsificar la dirección IP de origen a direcciones generadas aleatoriamente, de modo que la máquina víctima no pueda distinguir entre los paquetes falsificados y los paquetes legítimos. Las respuestas se enviarían entonces a direcciones aleatorias que no terminan en ningún lugar en particular. Estos paquetes que no van a ninguna parte se denominan retrodispersión y existen telescopios de red que monitorean la retrodispersión para medir la intensidad estadística de los ataques DDoS en Internet a lo largo del tiempo. [3]
El uso de paquetes con una dirección IP de origen falsa no siempre es una prueba de intenciones maliciosas. Por ejemplo, en las pruebas de rendimiento de sitios web, se pueden crear cientos o incluso miles de "vusers" (usuarios virtuales), cada uno de los cuales ejecuta un script de prueba contra el sitio web en prueba, con el fin de simular lo que sucederá cuando el sistema se active y una gran cantidad de usuarios inicien sesión simultáneamente.
Dado que normalmente cada usuario tendrá su propia dirección IP, los productos de prueba comerciales (como HP LoadRunner , WebLOAD y otros) pueden usar suplantación de IP, lo que también permite que cada usuario tenga su propia "dirección de retorno".
La suplantación de IP también se utiliza en algunos balanceos de carga del lado del servidor. Permite que el balanceador de carga disperse el tráfico entrante, pero no es necesario que esté en la ruta de retorno de los servidores al cliente. Esto ahorra un salto de red a través de los conmutadores y el balanceador de carga, así como la carga de procesamiento de mensajes salientes en el balanceador de carga. La salida suele tener más paquetes y bytes, por lo que el ahorro es significativo. [4] [5]
Configuración y servicios que son vulnerables a la suplantación de IP:
El filtrado de paquetes es una defensa contra los ataques de suplantación de IP . La puerta de enlace a una red normalmente realiza un filtrado de entrada , que consiste en bloquear los paquetes procedentes del exterior de la red con una dirección de origen dentro de la red. Esto evita que un atacante externo falsifique la dirección de una máquina interna. Idealmente, la puerta de enlace también realizaría un filtrado de salida en los paquetes salientes, que consiste en bloquear los paquetes procedentes del interior de la red con una dirección de origen que no está dentro. Esto evita que un atacante dentro de la red que realiza el filtrado lance ataques de suplantación de IP contra máquinas externas. Un sistema de detección de intrusiones (IDS) es un uso común del filtrado de paquetes, que se ha utilizado para proteger los entornos para compartir datos a través de enfoques de IDS basados en red y host. [6]
También se recomienda diseñar protocolos y servicios de red de modo que no dependan de la dirección IP de origen para la autenticación.
Algunos protocolos de capa superior tienen su propia defensa contra ataques de suplantación de IP. Por ejemplo, el Protocolo de Control de Transmisión (TCP) utiliza números de secuencia negociados con la máquina remota para garantizar que los paquetes que llegan sean parte de una conexión establecida. Dado que el atacante normalmente no puede ver ningún paquete de respuesta, se debe adivinar el número de secuencia para secuestrar la conexión. Sin embargo, la mala implementación en muchos sistemas operativos y dispositivos de red antiguos significa que los números de secuencia TCP se pueden predecir.
El término spoofing también se utiliza a veces para referirse a la falsificación de encabezados , la inserción de información falsa o engañosa en los encabezados de correo electrónico o de noticias en Internet . Los encabezados falsificados se utilizan para engañar al destinatario o a las aplicaciones de red sobre el origen de un mensaje. Esta es una técnica común de los spammers y los sporgers , que desean ocultar el origen de sus mensajes para evitar ser rastreados.