Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de
suplantacin de identidad generalmente con usos maliciosos o de investigacin. Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada. Entre ellos tenemos el IP spoofing (quizs el ms conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad. La suplantacin de IP consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envo de paquetes SYN y ACK con su SYN especfico y teniendo en cuenta que el propietario real de la IP podra (si no se le impide de alguna manera) cortar la conexin en cualquier momento al recibir paquetes sin haberlos solicitado. Tambin hay que tener en cuenta que los enrutadores actuales no admiten el envo de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarn el enrutador).
Mitigacin de ataques
Existen multitud de ataques DDoS adems de los vistos anteriormente: Direct Attacks, TTL expiry attack, IP unreachable attack, ICMP transit attacks, Reflection Attacks, etc. La contencin de los mismos resulta muy complicada sobre todo cuando se trata de un gran volumen de trfico. Contar con dispositivos que permitan frenar estos ataques resulta costoso, por este motivo contactar con el ISP es la idea ms acertada. Sin embargo, cuando el ataque DDoS no es extremadamente excesivo, una configuracin adecuada del sistema operativo y de los servicios afectados puede ayudar en gran parte a contrarrestar el ataque. Ejemplo de ello son ciertos parmetros del kernel de Linux que nos permiten modificar el comportamiento de ste bajo ciertas condiciones y que resultarn muy tiles para blindar nuestro servidor en ciertas circunstancias. Algunos de estos parmetros se encuentran en /etc/sysctl.conf. rp_filter: Conocida tambin como source route verification, tiene un objetivo similar al Unicast RPF (Reverse Path Forwarding) utilizado en routers Cisco. Se emplea para comprobar que los paquetes que entran por una interfaz son alcanzables por la misma basndose en la direccin origen, permitiendo de esta forma detectar IP Spoofing: sysctl -w net.ipv4.conf.all.rp_filter=1 Cmo evitar ataques?
Utilizar la autentificacin basada en el intercambio de claves entre las mquinas en la red. Utilizar ACLs (Access Control List) para negar trfico de direcciones IP privadas (no confiables). Poner en produccin filtrado del trfico de entrada y de salida del interface. Configurar switches y routers para que denieguen trfico dentro de la red que debera originarse fuera y viceversa. Permitir el acceso hacia servidores locales desde mquinas externas confiables mediante sesiones cifradas establecidas contra los routers frontera de la LAN mediante VPNs
Cmo generar ataques?
Una de las herramientas que permite realizar este tipo de ataques es Hping. Esta es una herramienta en lnea de comandos que nos permite crear y analizar paquetes TCP/IP, y como tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como no tambin tiene la capacidad de provocar un SYN Flood Attack (DD0S). El objetivo de un ataque de este tipo es el envo de peticiones de conexin TCP ms rpido de lo que una mquina puede procesar, al fin de saturar los recursos y evitar que la mquina pueda aceptar ms conexiones.