Suplantación de IP

IP spoofing es el nombre que indica, en una red informática, una técnica de ataque informático que utiliza un paquete IP en el que se falsifica la dirección IP del remitente. En el encabezado de un paquete IP hay un campo específico, la dirección de origen, cuyo valor indica la dirección IP del remitente: cambiar este campo puede hacerle creer que un paquete IP ha sido transmitido desde una máquina host diferente.

Esta técnica se puede utilizar para superar algunas técnicas defensivas contra intrusiones, principalmente aquellas basadas en la autenticación de direcciones IP. De hecho, es normal que en las intranets corporativas la autenticación a algunos servicios se realice sobre la base de la dirección IP, sin el uso de otros sistemas (como nombre de usuario y contraseña). Este tipo de ataque es tanto más exitoso cuanto más fuertes son las relaciones de "confianza" entre dos o más máquinas. Una de las defensas que se pueden implementar contra este tipo de ataque es el uso del filtrado de paquetes, estableciendo reglas apropiadas sobre la base de las cuales se decide qué paquetes desde el exterior se pueden transmitir dentro de la red corporativa y viceversa. En el caso específico, para evitar un ataque basado en spoofing es suficiente establecer un conjunto de reglas que prohíban el paso desde el exterior hacia el interior de la red corporativa de paquetes IP que tengan como dirección IP de origen la de una máquina interna. Por supuesto, también puede establecer reglas de tal manera que evite ataques de suplantación desde adentro hacia afuera. La suplantación de IP es una técnica útil para obtener el anonimato de un solo paquete, pero es difícil explotarlos para ataques que involucren la suplantación de una sesión/comunicación completa, ya que quien envía el paquete (el atacante) no podrá, generalmente, continuar de una manera consistente en la comunicación, dado que las respuestas serán enviadas por el destinatario (víctima) a la dirección IP especificada en el paquete (" suplantación ") . En el pasado, era posible crear un ataque de suplantación activando las opciones de enrutamiento de origen, obligando a la víctima a enrutar las respuestas al atacante; actualmente es casi imposible encontrar en Internet un enrutador que cumpla con las opciones de enrutamiento de origen : casi todos los paquetes de descarte que los contienen. Es una técnica utilizada principalmente durante ataques de Tipo DoS y principalmente en su variante distribuida (o DDoS), para evitar que el atacante (o atacantes) sea fácilmente identificable.

Para el propósito de enrutar paquetes IP, solo la dirección de destino es importante: es por eso que en condiciones normales es posible enviar paquetes IP que parecen provenir de cualquier IP. Además, a menudo hay una falta de un control de nivel superior que autentique el origen de los paquetes IP. Una solución puede ser utilizar IPsec.

Un uso legítimo en boga hasta hace algún tiempo fue en el campo de las transmisiones de datos por satélite que tienen latencias muy altas y bajas tasas de error. La alta latencia excedió el tiempo permitido para el reconocimiento TCP y, por lo tanto, requirió la retransmisión del paquete. Por esta razón, los paquetes de acuse de recibo "falsos" se enviaban al cliente al recibirlos, aprovechando la baja tasa de error garantizada por las conexiones satelitales. Hoy en día, se prefiere la ventana deslizante en lugar de spoofing.

Algunos servicios que son vulnerables son:

Los ataques de suplantación de IP se pueden dividir en tres categorías: luego se describen varios escenarios, siempre utilizando el protocolo de control de transmisión (tcp) como protocolo de nivel de transmisión. Puede utilizar el '' IP Spoofing también con el protocolo UDP (User Datagram Protocol) pero estar sin autenticación es poco utilizado para hacer Acceso autenticado al sistema. Para llevar a cabo cualquier ataque de suplantación de IP, debe ser capaz de modificar el encabezado del paquete IP. Una herramienta para hacer esto es sockets Raw. Este tipo de socket le permite crear el paquete a voluntad (incluyendo el encabezado), obviamente necesita crear manualmente el encabezado completo del paquete. Varios lenguajes implementan sockets raw (C, C++, Python, etc) y es más fácil operar el ataque en el entorno Unix. El atacante está tratando de pasar por un host que es parte de su subred; por lo tanto, al establecer la tarjeta de red en promiscua, es capaz de leer todos los paquetes dirigidos al host que pretende hacerse pasar y así puede descubrir el número de secuencia y el número de reconocimiento de la conexión actual e intentar inserirvisi. Algunos tipos de ataque se pueden llevar a cabo, incluyendo el cierre de una conexión y la intromisión en una conexión (secuestro). Para cerrar una conexión iniciada por la víctima es necesario para "oler" al menos, un paquete de la comunicación (el regreso del servidor), para ser interrumpido, de tal manera que se comprenda el número de secuencia y calcular el siguiente valor. Puede utilizar los indicadores reset (RST) o data end (FIN). Con el indicador reset, el ack está desactivado, así que simplemente Calcule el número de secuencia del ack del paquete inhalado. El ack correcto también debe calcularse para el indicador de extremo de datos. Para que el ataque tenga éxito, el paquete "falsificado" debe ser enviado antes de la respuesta del cliente (si esto sucede, se cambia el número de secuencia). Para interferir en una comunicación TCP es necesario desincronizar el cliente, que consiste en Cambiar el número de secuencia y ack de la conversación con el servidor. Un problema particular debido a este tipo de ataque es la tormenta ACK: cuando el cliente y el servidor están desincronizzati entre ellos en cada intento de enviar paquetes al lado opuesto descarta el paquete y envía el último paquete enviado, el otro lado recibe el paquete, descarta el paquete porque está desincronizado, y envía el último paquete que se envió, por lo que inicia el bucle que continúa hasta que se pierde un paquete ack, o se llega al tiempo de espera y la conexión se restablece Dado el cliente a, servidor B y un atacante C (conectado a la misma red), un método posible para desincronizar para ser parte de C Es: otros métodos de desincronización pueden hacer que se peguen la nariz en la comunicación de apretón de manos, y el restablecimiento inicial de la conexión original, y forzar al servidor a abrir una nueva conexión con el mismo cliente pero con un número de secuencia diferente. Durante esta fase se puede utilizar una cantidad significativa de ancho de banda, lo que ha dado lugar a ataques DOS específicos. En este tipo de ataque el atacante no está en la misma red que la víctima, por lo que incluso si puede enviar paquetes spoofati (puede intentar establecer conexiones con el servidor) apareciendo la víctima, todos los paquetes de respuesta se enviarán a la víctima y el atacante no puede interceptarlos fácilmente. También no saber las respuestas del servidor no puede calcular el número de secuencia y luego continuar el diálogo. Para evitar este problema, puede intentar predecir el número de secuencia del servidor (ataque de predicción de secuencia TCP). Un número de secuencia se puede generar de varias maneras: si la implementación TCP utiliza el primero, es fácil para el atacante predecir el número de secuencia. Por ejemplo, puede intentar crear una conexión de prueba con su dirección IP para comprender qué regla está adoptando el servidor y a qué número de secuencia llegó. En el caso de la segunda técnica, se requieren varias pruebas para comprender el comportamiento del servidor, mientras que si el número de secuencia se genera aleatoriamente, no es posible continuar en este tipo de ataque. Una vez que el atacante puede predecir el número de secuencia, puede establecer una conexión TCP con el servidor haciéndose pasar por la víctima. Tenga en cuenta el hecho de que el atacante no puede ver si el servidor responde a los paquetes (esto no es un gran problema porque el propósito del atacante puede ser enviar comandos al servidor y, por lo tanto, no se ve afectado por Más respuestas). Recuerde el hecho de que la víctima recibe todos los paquetes de respuesta del servidor, por lo que debe desconectar a la víctima antes de iniciar este ataque. La técnica de suplantación de IP también se utiliza para ataques de denegación de servicio, cuyo propósito es aterrizar la máquina de la víctima. El enmascaramiento IP aparece en los ataques Pitufos (tratando de agotar la banda de la víctima) y también en el ataque SYN flood (tratando de agotar los recursos de la víctima).

Técnicas de ataque cibernético

Robo de puertos

En el contexto de la seguridad cibernética, el robo de puertos (literalmente, el robo de la puerta) es una técnica de ataque y capa 2 (ethernet), es decir, conm...

Scripting De Aplicaciones Cruzadas

Cross Application scripting (CAS) es una vulnerabilidad que afecta a las aplicaciones de escritorio que emplean un control de entrada insuficiente. Una CA permi...

Seguridad de la red

Hacking

Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad