IP SPOOFING

Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de

suplantacin de identidad generalmente con usos maliciosos o de investigacin. Se pueden
clasificar los ataques de spoofing, en funcin de la tecnologa utilizada. Entre ellos tenemos el
IP spoofing (quizs el ms conocido), ARP spoofing, DNS spoofing, Web spoofing o email
spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnologa de red
susceptible de sufrir suplantaciones de identidad.
La suplantacin de IP consiste bsicamente en sustituir la direccin IP origen de un paquete
TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias
a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP
como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los
paquetes alterados irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete
icmp "echo request") suplantado, la respuesta ser recibida por el host al que pertenece la IP
legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es
usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar
Suplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho
protocolo con el envo de paquetes SYN y ACK con su SYN especfico y teniendo en cuenta que
el propietario real de la IP podra (si no se le impide de alguna manera) cortar la conexin en
cualquier momento al recibir paquetes sin haberlos solicitado. Tambin hay que tener en
cuenta que los enrutadores actuales no admiten el envo de paquetes con IP origen no
perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarn el
enrutador).

Mitigacin de ataques

Existen multitud de ataques DDoS adems de los vistos anteriormente: Direct Attacks, TTL
expiry attack, IP unreachable attack, ICMP transit attacks, Reflection Attacks, etc. La
contencin de los mismos resulta muy complicada sobre todo cuando se trata de un gran
volumen de trfico.
Contar con dispositivos que permitan frenar estos ataques resulta costoso, por este motivo
contactar con el ISP es la idea ms acertada. Sin embargo, cuando el ataque DDoS no es
extremadamente excesivo, una configuracin adecuada del sistema operativo y de los servicios
afectados puede ayudar en gran parte a contrarrestar el ataque. Ejemplo de ello son ciertos
parmetros del kernel de Linux que nos permiten modificar el comportamiento de ste bajo
ciertas condiciones y que resultarn muy tiles para blindar nuestro servidor en ciertas
circunstancias. Algunos de estos parmetros se encuentran en /etc/sysctl.conf.
rp_filter: Conocida tambin como source route verification, tiene un objetivo similar al
Unicast RPF (Reverse Path Forwarding) utilizado en routers Cisco. Se emplea para comprobar
que los paquetes que entran por una interfaz son alcanzables por la misma basndose en la
direccin origen, permitiendo de esta forma detectar IP Spoofing:
sysctl -w net.ipv4.conf.all.rp_filter=1
Cmo evitar ataques?

Utilizar la autentificacin basada en el intercambio de claves entre las mquinas en la red.
Utilizar ACLs (Access Control List) para negar trfico de direcciones IP privadas (no
confiables).
Poner en produccin filtrado del trfico de entrada y de salida del interface.
Configurar switches y routers para que denieguen trfico dentro de la red que debera
originarse fuera y viceversa.
Permitir el acceso hacia servidores locales desde mquinas externas confiables mediante
sesiones cifradas establecidas contra los routers frontera de la LAN mediante VPNs

Cmo generar ataques?

Una de las herramientas que permite realizar este tipo de ataques es Hping. Esta es una
herramienta en lnea de comandos que nos permite crear y analizar paquetes TCP/IP, y como
tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como
no tambin tiene la capacidad de provocar un SYN Flood Attack (DD0S).
El objetivo de un ataque de este tipo es el envo de peticiones de conexin TCP ms rpido de
lo que una mquina puede procesar, al fin de saturar los recursos y evitar que la mquina
pueda aceptar ms conexiones.

Referencias

http://www.zonavirus.com/articulos/que-es-el-spoofing.asp
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguri
dad_analisis_trafico_wireshark.pdf
http://es.wikipedia.org/wiki/Spoofing
http://pedrocarrasco.org/2010/08/manual-practico-de-hping/
http://lamiradadelreplicante.com/2012/01/24/ataque-ddos-syn-flood-con-hping3/
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Como-evitar-el-
Spoofing.php