IP spoofing
Origem: Wikipédia, a enciclopédia livre.
No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP com endereços remetentes falsificados.
Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino); não há verificação do remetente — o router anterior pode ser outro, e ao nível do IP, o pacote não tem qualquer ligação com outro pacote do mesmo remetente. Assim, torna-se trivial falsificar o endereço de origem, i.e., podem existir vários computadores a enviar pacotes fazendo-se passar pelo mesmo endereço de origem, o que representa uma série ameaça para os velhos protocolos baseados em autenticação pelo endereço IP.
Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Mas isto não é bem assim, como indica o parágrafo anterior. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos priveligiados no momento do ataque.
Bom, mas resta a interacção com as aplicações, além de que as características do protocolo IP permitem falsificar um remetente, mas não lhe permitem receber as respostas — essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego.
Por outro lado, ao nível das aplicações, este protocolo é frequentemente acoplado ao TCP, formando o TCP/IP. Isto quer dizer que existe encapsulamento do TCP dentro do IP (e os dados dentro do TCP), o que remete ao atacante a necessidade de saber que dados TCP incluir no pacote falsificado. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.
Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local. Idealmente, embora muito negligenciado, usar um filtro egress — que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa — pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas.
Existem outros ataques que utilizam esta técnica para o atacante não sofrer os efeitos do ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados.
