¿Qué tan fácil es realmente hacer una suplantación de IP?

  • Leí mucho sobre la suplantación de IP, pero no estoy seguro de lo fácil que es hacerlo. Digamos que estoy en España, ¿puedo conectarme de alguna manera a un servidor en los EE. UU. Con una dirección IP asignada a México? ¿No se negarán los enrutadores simplemente a reenviar mi tráfico? Sé que no obtendrá ninguna respuesta, ya que se enviará a México, pero me confunde cómo puede comunicarse con el servidor de EE. UU. Con la IP incorrecta.

    @Xander No creo que mi pregunta esté respondida en la pregunta vinculada.

    Hay una discusión sobre Stackoverflow que sería interesante para usted, tal vez podría echar un vistazo aquí

    @Caffeine http://spoofer.cmand.org//summary.php parece interesante, gracias. La mayoría de las respuestas que veo hablan sobre el problema de obtener tráfico bidireccional. Pero no veo cómo se puede hacer que funcione el tráfico unidireccional (para hacer un ataque DOS, por ejemplo).

  • De hecho, no puedes. Siempre que necesite tráfico IP bidireccional, La suplantación de IP no sirve de nada. El servidor contactado no respondió a usted pero para otra persona, la dirección que falsificó.

    La suplantación de IP normalmente es "útil" sólo para interrumpir las comunicaciones: envía paquetes dañinos y no quiere que se puedan rastrear hasta usted mismo.

    En situaciones específicas puede utilizar un doble suplantación para obtener una medida de bidireccionalidad. Por ejemplo, supongamos que conocemos un sistema en algún lugar que tiene generadores de secuencia deficientes; siempre que le envíe un paquete, responderá con un paquete que contiene un número que se incrementa monótonamente. Si nadie se conectara al sistema excepto usted, esperaría obtener 1, 2, 3, 4 ...

    Ahora supongamos que está interesado en si otro el sistema está respondiendo a paquetes específicos (por ejemplo, está ejecutando un escaneo de puertos) y desea recibir alguna información pero no desea que el sistema de destino tengo tu dirección real. Puede enviar a ese sistema un paquete falsificado pretendiendo ser de la máquina con una secuencia deficiente.

    Ahora hay tres posibilidades: el sistema de destino no responde, responde o contraataca activamente y (por ejemplo) escanea la fuente pretendida para determinar el por qué y el por qué de ese primer paquete.

    Lo que haces es escanear ... sin que spoofing - la máquina de secuenciación deficiente (PSM). Si nadie excepto usted se ha conectado a él, lo que significa que la máquina de destino no ha respondido al PSM, obtendrá 1-2-3-4-5. Si respondio una vez, obtendrá 1-3-5-7 (los paquetes 2, 4 y 6 han sido enviados por el PSM al TM en respuesta a las respuestas del TM-PSM al falsificado paquetes de usted a la TM. Si la TM hizo más conexiones, obtendrá algo como 2-11-17-31 o algo así.

    El PSM conoce su dirección real, por supuesto, pero el TM no. De esta manera, puede falsificar una conexión y aún así recopilar información. Si el nivel de seguridad del PSM es lo suficientemente bajo, esto, combinado con el hecho de que su "escaneo" del PSM es inofensivo, es (con suerte) suficiente para evitar consecuencias para usted.

    Otra posibilidad es falsificar una máquina cercana. Por ejemplo, está en la red 192.168.168.0/24, tiene IP 192.168.168.192 y tiene acceso promiscuo a algún otro espacio de direcciones de la máquina, digamos 192.168.168.168. Solo tiene que "convencer" al enrutador que lo atiende a usted y a la máquina .168 de que de hecho eres la máquina .168y desconecte este último o interrumpa sus comunicaciones (o espere hasta que esté desconectado por motivos propios, por ejemplo, un colega que se desconecta para almorzar). Luego, las respuestas a los paquetes falsificados .168 pasarán de largo, pero siempre que puedas olerlos mientras pasan, y el .168 real no puede enviar un "¡Ese no fui yo!" respuesta, desde el exterior la comunicación parecerá válida y apuntará a la máquina .168.

    Esto es como fingir ser el vecino de la puerta principal, mientras que el apartamento está realmente desocupado. Pides algo por correo, el paquete llega a la puerta del otro, le dices al repartidor "Oh, sí, el Sr. Smith volverá en media hora, solo firmaré por él" y recibiré el paquete.

    Gracias, pero incluso cuando no necesita que el tráfico sea bidireccional, no lo entiendo. ¿No rechazarán los enrutadores en España simplemente el tráfico que parece provenir de una dirección IP mexicana?

    Noto que la pregunta vinculada dice "muchos enrutadores están configurados para eliminar el tráfico con una IP de origen obviamente incorrecta". Entonces, ¿la suplantación de IP se basa en enrutadores configurados incorrectamente?

    Sí, pero muchos enrutadores * no * realizan el llamado "filtrado de salida". El hardware más moderno probablemente lo hará, ya que la memoria, la potencia informática y el ancho de banda de actualización son más baratos ahora que antes, pero gran parte de Internet todavía funciona con hardware "antiguo", más que "mal configurado". Los spoofers de IP son una minoría, y controlar * todo * el tráfico para hacer frente a él a menudo no es lo suficientemente rentable para muchos ISP y operadores.

  • Digamos que quiero escribir una carta a un amigo en China. En el reverso del sobre, escribo la dirección de mi casa, que está en Australia. Si envío la carta mientras estoy de vacaciones en Egipto, ¿esperaría que el servicio postal arroje mi carta a la papelera, porque la dirección del remitente puede ser falsificada?

    Digamos que estoy en España, ¿puedo conectarme de alguna manera a un servidor en los EE. UU. Con una dirección IP asignada a México? ¿No se negarán los enrutadores simplemente a reenviar mi tráfico?

    No, no lo harán. En lo que respecta al enrutador, este es solo otro paquete legítimo destinado a los EE. UU. El tráfico se enruta a través de Internet de una manera bastante sencilla. Ninguna parte controla la ruta completa o incluso tendría que estar al tanto de una. Los enrutadores hacen poco más que señales elegantes. "¿América del Norte? Aquí no. Gire a la izquierda y pregunte de nuevo en la próxima intersección".

    En una inspección más cercana, un enrutador en España podría encontrar sospechoso que recibió datos de México a los EE. UU., Pero sería una pérdida de recursos investigar. Cada enrutador simplemente sigue apuntando en la dirección general del destino. Eventualmente, el paquete debería llegar. A menos que, por supuesto, el enrutador esté configurado de la manera que parece esperar; rechaza el paquete por completo. Eso es ciertamente posible, pero no muy útil para nadie. El enrutador también podría hacer su trabajo y terminar con él.

    La analogía de las vacaciones es errónea. Si bien * la mayoría * de los enrutadores no tienen una forma práctica de verificar, los enrutadores que solo sirven a redes conocidas ** sí **. Por ejemplo, mi ISP asignará 192.168.x.y a sus clientes: no esperará que lleguen paquetes del enlace descendente, excepto los que procedan de sus clientes con esas direcciones.

Licencia bajo CC-BY-SA con atribución


Contenido fechado antes 26/06/2020 9:53