Suplantación de IP (del inglés spoof - hoax) -
Para un atacante, el principio básico del ataque es falsificar sus propios encabezados de paquetes IP, en los que, entre otras cosas, se cambia la dirección IP de origen. Un ataque de suplantación de IP a menudo se denomina "suplantación de identidad ciega" [1] . Esto se debe a que las respuestas a los paquetes falsificados no pueden llegar a la máquina del cracker porque se cambió la dirección de salida. Sin embargo, todavía hay dos métodos para obtener respuestas:
El protocolo de transporte (4) TCP tiene un mecanismo incorporado para evitar la suplantación de identidad: el llamado número de secuencia y confirmación (número de secuencia, número de reconocimiento) [1] . El protocolo UDP no tiene dicho mecanismo, por lo que las aplicaciones creadas sobre él son más vulnerables a la suplantación de identidad.
Considere establecer una conexión TCP ( apretón de manos triple ):
Usando la suplantación de IP, el cracker no podrá ver los ISN, ya que no recibirá una respuesta del servidor. Necesita ISN en el tercer paso, cuando tendrá que aumentarlo en 1 y enviarlo. Para establecer una conexión en nombre de la IP de otra persona, el atacante debe adivinar los ISN. En los sistemas operativos (SO) más antiguos, era muy fácil adivinar el ISN: aumentaba en uno con cada conexión. Los sistemas operativos modernos utilizan un mecanismo que evita adivinar el ISN.
Un tipo de ataque DoS . Un atacante envía solicitudes SYN a un servidor remoto, reemplazando la dirección del remitente. La respuesta SYN+ACK se envía a una dirección inexistente, como resultado, las llamadas conexiones semiabiertas aparecen en la cola de conexión, esperando la confirmación del cliente. Después de un cierto tiempo de espera, estas conexiones se interrumpen. El ataque se basa en la vulnerabilidad de limitación de recursos del sistema operativo para conexiones semiabiertas, descrita en 1996 por el grupo CERT , según la cual la cola para este tipo de conexiones era muy corta (por ejemplo, Solaris no permitía más de ocho conexiones), y el tiempo de espera de la conexión fue bastante largo (según RFC 1122 - 3 minutos).
Otro tipo de ataque DoS. La computadora atacante envía solicitudes al servidor DNS , especificando en el paquete transmitido, en el campo de dirección IP de origen, la dirección IP de la computadora atacada. La respuesta del servidor DNS supera el volumen de la solicitud varias docenas de veces, lo que aumenta la probabilidad de un ataque DoS exitoso.
Los únicos identificadores por los que un host final puede distinguir entre suscriptores TCP y conexiones TCP son los campos Número de secuencia y Número de reconocimiento. Conociendo estos campos y utilizando la sustitución de la dirección IP de origen del paquete con la dirección IP de uno de los suscriptores, el atacante puede insertar cualquier dato que conduzca a una desconexión, un estado de error o realice alguna función en beneficio de el atacante Es posible que la víctima ni siquiera se dé cuenta de estas manipulaciones.
Este tipo de ataque es más efectivo cuando existe una relación de confianza entre las máquinas. Por ejemplo, en algunas redes corporativas, los sistemas internos confían entre sí y los usuarios pueden iniciar sesión sin un nombre de usuario o contraseña, siempre que la máquina del usuario esté en la misma red local. Al falsificar una conexión desde una máquina confiable, un atacante puede obtener acceso a la máquina de destino sin autenticación. Un ejemplo famoso de un ataque exitoso es que Kevin Mitnick lo usó contra el auto de Tsutomu Shimomura en 1994 ( El ataque de Mitnick ).
La forma más fácil de verificar que un paquete sospechoso proviene del remitente correcto es enviar el paquete a la IP del remitente. Por lo general, se usa una IP aleatoria para la suplantación de IP, y es probable que no reciba ninguna respuesta. Si es así, tiene sentido comparar el campo TTL ( Tiempo de vida ) de los paquetes recibidos. Si los campos no coinciden, los paquetes provienen de diferentes fuentes.
A nivel de red, el ataque se evita parcialmente mediante un filtro de paquetes en la puerta de enlace. Debe configurarse de tal forma que no permita paquetes que vengan por esas interfaces de red de donde no podrían venir. Por ejemplo, filtrado de paquetes de una red externa con una dirección de origen dentro de la red.
Uno de los métodos más confiables de protección contra la suplantación de direcciones IP es hacer coincidir la dirección MAC ( trama Ethernet ) y la dirección IP ( encabezado del protocolo IP ) del remitente. Por ejemplo, si un paquete con una dirección IP de la red interna tiene una dirección MAC de puerta de enlace, este paquete debe descartarse. En los dispositivos de red modernos, cambiar la dirección MAC (dirección física) no es un problema.