Solo voy a responder (muy) en general y te dejaré hacer los cálculos.
La suplantación de direcciones IP funciona como cualquier otra forma de suplantación de identidad. Engañar significa pretender ser alguien que no eres. En el contexto de la seguridad de la información, la suplantación de direcciones IP (a partir de ahora referida simplemente como "suplantación de identidad") es bastante común en muchos ataques. Por ejemplo, para los sistemas de destino que utilizan la dirección IP como control de seguridad, como las listas de control de acceso del enrutador, los cortafuegos, las relaciones de confianza, etc. Además, se utiliza muy comúnmente en los ataques de denegación de servicio. La falsificación de IP en la práctica puede variar de mundana a altamente compleja. En general hay 3 formas comunes de hacerlo.
Simplemente puede configurar su dirección IP a cualquier cosa que desee utilizando ifconfig
en Unix o netsh
en Windows. Además, muchas herramientas vienen con capacidades de suplantación de identidad incorporadas, como señuelos en Nmap, o puede usar varias herramientas de creación de paquetes como Scapy. Esto es genial y todo, pero cualquier persona con conocimientos básicos de redes le dirá que no va a ser realmente muy útil en muchos casos. Claro que los protocolos de datagramas falsos como UDP o ICMP son triviales, pero ¿qué pasa con TCP? En primer lugar, la mayoría de los ISP ignoran la dirección de origen, por lo que puede comenzar a disparar los paquetes con cualquier IP que desee y probablemente se entregarán, pero si realmente desea tener algún tipo de interacción significativa (es decir, casi cualquier otra cosa que no sea DoS ) está fuera de suerte porque la respuesta obviamente se enviará a quien sea que esté falsificando. Esta es la naturaleza de los protocolos orientados a la sesión como TCP. El apretón de manos de tres vías arruinará toda tu diversión. Por ejemplo: envías tus paquetes falsificados (SYN [A, ISNa]) sobre esa máquina (B) que responderá (ACK [A, ISNa + X] SYN [B, ISNb]) a quien sea que estés falsificando ( A), pero la única máquina de respuesta B que regresará de la máquina A es un restablecimiento (RST). Ahora, si está en la misma LAN que el sistema que está falsificando, esto funciona de manera un poco diferente, ya que podría interceptar los mensajes. Para solucionar este pequeño problema con TCP, uno podría intentar predecir los ISN. Por esta razón, los números de secuencia iniciales (ISN) en TCP se supone que son difíciles de adivinar.
En realidad iba a continuar, pero no soy muy bueno en esto y estoy cansado, así que solo voy a cerrar ... con unas pocas palabras. Tal vez vuelva y termine esto más tarde. Lo siento.
La forma más fácil que conozco para hacer suplantación de identidad es a través del enrutamiento de origen. Simplemente use el enrutamiento de origen suelto, póngase en el camino y estará listo para comenzar. La única dependencia es que al menos una ruta de red entre usted y su destino admita el enrutamiento de origen. No creo que esto sea realmente un gran problema en este momento.
Ahora para defenderse contra la suplantación de identidad, ¿qué debe hacer? Mantenga su pila TCP / IP parcheada. No extienda las relaciones de confianza fuera de los cortafuegos a menos que se trate de un túnel cifrado. No use las direcciones IP para la autenticación (sí, la gente realmente hace esto). Use filtros anti-falsificación en enrutadores y firewalls, ya sea directamente contra la falsificación o verificaciones de reenvío de ruta inversa. No permita que los paquetes enrutados de origen a través de las puertas de enlace de red y especialmente no las puertas de enlace de Internet (Algunos usuarios de redes parecen tener problemas con el enrutamiento de origen en la red interna, pero siempre vale la pena intentarlo). En iOS, esto es tan fácil como cambiar una configuración. Se llama "no ip source-route". Además, los filtros anti-spoof pueden configurarse para generar registros y podría utilizar algunas técnicas de aprendizaje automático sofisticadas para detectar direcciones de origen no esperadas en una red determinada.
Lamento acortarlo, pero estoy fuera. Cherrio