Un ataque de IP Address spoofing se produce cuando un atacante genera paquetes conteniendo direcciones IP falsas con el objetivo de ocultar su identidad o de hacerse pasar por otro dispositivo legítimo. Vamos a conocer un poco más de este tipo de ataques.

ataques informaticos XII ip address spoofing suplantacion de direcciones ip

 

El atacante puede utilizar esta técnica para por ejemplo acceder a información de otra manera no accesible, alterar el funcionamiento normal de la red o evitar diferentes medidas de seguridad establecidas. Por lo general este ataque es un paso intermedio para otro posterior como por ejemplo para un ataque de denegación de servicio.

Los ataques de spoofing pueden ser o no ser ciegos, el decir el atacante puede tener ya visibilidad sobre el tráfico de red o no.

  • Non-blind spoofing - En este caso el atacante puede ver el tráfico que se está produciendo entre el host a suplantar y el objetivo a atacar. Permitiendo de esta manera predecir próximos intercambios de paquetes pudiendo crear paquetes IP modificados para por ejemplo robar una sesión
  • Blind spoofing - En este así el atacante no ve el tráfico, pero puede usar esta técnica por ejemplo para amplificar un ataque DoS contra una víctima utilizando la respuesta de un sistema a peticiones falsificadas de la víctima.

Cómo prevenir la suplantación de IP

En este caso no es posible evitar que alguien genere un paquete IP modificado y lo lance pero sí que se puede evitar que los mismos entren o salgan de nuestra red, básicamente utilizando herramientas o dispositivos con capacidades de filtrado y/o monitorización del tráfico de red.

Todo esto con dos objetivos, el primero que ningún dispositivo no autorizado pueda conectarse a la misma y el segundo que se pueda detectar y filtrar cualquier paquete anómalo. De esta manera si los encabezados de origen de los paquetes no coinciden o se consideran sospechosos se bloquearán de la misma manera que se haría si se detecta un incremento inusual de tráfico. Un ejemplo en este caso sería que un router bloqueará por defecto cualquier paquete saliente con una IP de origen no coincidente con ninguna registrada de la red interna. O al revés, que no aceptara ninguno entrante que no coincidiera con una IP de origen de ninguno de los routers a los que está conectado.

Un punto de inflexión para evitar mucho más efectivamente la posibilidad de que este tipo de ataques ocurra es adoptando IPv6 debido a su características nativas de seguridad. Recordemos que en este sentido IPv6 incluye de forma nativa IPsec y que está dispone de dos cabeceras de seguridad (AH y ESP) que tanto por separado o conjuntamente garantizan la autenticación del origen de los datos y que estos no se hayan modificado en tránsito.