IP spoofing

Da Wikipedia, l'enciclopedia libera.

In una rete di computer, con il termine di IP spoofing si indica una tecnica tramite la quale si crea un pacchetto IP nel quale viene falsificato l'indirizzo IP del mittente.

Nell'header di un pacchetto IP si trova uno specifico campo, il Source Address, il cui valore indica l'indirizzo IP del mittente. Semplicemente modificando questo campo si può far credere che un pacchetto IP sia stato trasmesso da una macchina differente.

[modifica] IP spoofing e sicurezza informatica

Questa tecnica può essere utilizzata per superare alcune tecniche difensive contro le intrusioni, in primis quelle basate sull'autenticazione dell'indirizzo IP. Infatti, è normale che in intranet aziendali l'autenticazione ad alcuni servizi avvenga sulla base dell'indirizzo IP, senza l'utilizzo di altri sistemi (come utente e password). Questo tipo di attacco ha tanto più successo tanto più i rapporti di "fiducia" tra due o più macchine sono forti.

Una delle difese che si possono attuare contro questo tipo di attacco è l'utilizzo di packet filtering, impostando opportune regole sulla base delle quali viene deciso quali pacchetti dall'esterno possono essere trasmessi all'interno della rete aziendale e viceversa. Nello specifico caso, per evitare un attacco basato sullo spoofing basta impostare una serie di regole che vieti il passaggio dall'esterno verso l'interno della rete aziendale di pacchetti IP che abbiano come indirizzo IP sorgente quello di una macchina interna. Ovviamente si possono impostare anche delle regole in modo tale da evitare attacchi di spoofing dall'interno verso l'esterno.

L'IP spoofing risulta essere una tecnica spesso inutile per ottenere anonimato, in quanto chi invia il pacchetto non sarà, generalmente, in grado di proseguire in modo coerente la comunicazione, dato che le risposte saranno inviate all'indirizzo IP modificato, tuttavia è sempre possibile utilizzare tecniche di Man-in-the-middle in cui è possibile instaurare una comunicazione bidirezionale analizzando il routing di pacchetti inviati con Strict Source settato nel campo Option del header IP , in questo modo è possibile interporsi la vittima dell'attacco e l'host spoofato.

Si tratta di una tecnica utilizzata principalmente durante attacchi di tipo DoS e principalmente nella loro variante distribuita (o DDoS), per verificare che gli algoritmi e le policy di routing siano impostate correttamente.

[modifica] IP spoofing, perché funziona

Ai fini del routing dei datagram IP ha importanza solo l'indirizzo di destinazione: è per questo motivo che in condizioni normali è possibilie spedire pacchetti IP che sembrano provenire da un qualunque IP. Inoltre spesso vi è mancanza di un controllo a livello superiore che autentica la sorgente dei pacchetti IP. Una soluzione può essere utilizzare IPsec.

[modifica] IP spoofing e trasmissione dati satellitare

Un suo utilizzo legittimo in voga fino a qualche tempo fa era nel campo delle trasmissioni dati via satellite che hanno latenze molto elevate e bassi tassi di errore. La latenza elevata superava i tempi concessi per l'acknowledge TCP e quindi imponeva la ritrasmissione del pacchetto. Per questa ragione al client venivano inviati pacchetti di acknowledge "falsi" di avvenuta ricezione approfittando del basso tasso di errore assicurati dai collegamenti satellitari. Oggi al posto dello spoofing si preferisce lo sliding window.