No contexto de redes de computadores, IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim, vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

Falsificação de um pacote: A cada pacote enviado estará geralmente associada uma resposta (do protocolo da camada superior) e essa será enviada para a vítima, pelo atacante não pode ter conhecimento do resultado exato das suas ações — apenas uma previsão.

Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver usando) direitos privilegiados no momento do ataque.

No entanto, através deste procedimento, a interação com as aplicações não existe. Além disso as características do protocolo IP permitem falsificar um remetente, porém não permitem receber as respostas — essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.

Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local; use aplicativos de falsificação de IP como iToolab AnyGo , MocPOGO ou VPN. Idealmente, embora muito negligenciado, usar um filtro egress — que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa — pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas.

Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados.

A maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como o DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows, Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um endereço MAC conhecido.

Ver também

editar