Uma introdução à falsificação de IP (e como evitá-la)
Publicados: 2022-01-13O roubo de identidade é sempre uma ameaça, independentemente do meio. A chamada “falsificação de IP” é uma maneira comum de usuários mal-intencionados obterem credibilidade rápida por suas tentativas de invasão.
Dado que cada computador e servidor tem um identificador único (um “protocolo de internet” – ou endereço IP), quase qualquer pessoa que use a internet pode estar vulnerável. A falsificação de IP é uma maneira de “falsificar” a aparência de um endereço de origem (como um endereço de e-mail) como uma técnica de representação. Pode vir de várias formas, então você tem que estar em guarda.
Ao longo deste post, falaremos sobre falsificação de IP, o que é, por que você é um alvo e muito mais. Também falaremos sobre alguns dos ataques de falsificação de IP mais comuns que você enfrentará, bem como alguns usos legítimos para falsificação de IP.
O que é falsificação de IP?
Em um sentido geral, a falsificação de IP pega uma parte dos dados que você envia pela Internet e faz parecer que são de uma fonte legítima. A falsificação de IP é um termo abrangente para muitos ataques diferentes:
- Falsificação de endereço IP: é uma ofuscação direta do endereço IP do invasor para conduzir ataques de negação de serviço (DoS) e muito mais.
- Falsificação do servidor de nomes de domínio (DNS): Isso modificará o IP de origem do DNS para redirecionar um nome de domínio para um IP diferente.
- Falsificação de protocolo de resolução de endereço (ARP): Uma tentativa de falsificação de ARP é um dos ataques mais complexos. Envolve vincular o endereço de controle de acesso à mídia (MAC) de um computador a um IP legítimo usando mensagens ARP falsificadas.
Para ficar mais técnico, a falsificação de IP pega os dados e altera algumas informações identificáveis no nível da rede. Isso torna a falsificação quase indetectável.
Por exemplo, tome um ataque DoS.
Isso usa uma coleção de bots usando endereços IP falsificados para enviar dados para um determinado site e servidor, colocando-o offline. Aqui, falsificar o IP torna o ataque difícil de detectar até que seja tarde demais, e é igualmente difícil rastrear após o fato.
Os ataques Machine-in-the-middle (MITM) também utilizam spoofing de IP porque a abordagem MITM se baseia na falsificação de confiança entre dois endpoints. Falaremos mais sobre esses dois ataques com mais detalhes posteriormente.
Como acontece a falsificação de IP
Para entender melhor a falsificação de IP, vamos contextualizar como a Internet envia e usa dados.
Todo computador usa um endereço IP e todos os dados que você envia são divididos em vários pedaços (“pacotes”). Cada pacote viaja individualmente. Então, quando chegam ao final da cadeia, são remontados e apresentados como um todo. Além disso, cada pacote também possui suas informações identificáveis (um “cabeçalho”) que incluirá o endereço IP da origem e do destino.
Em teoria, isso deve garantir que os dados cheguem a um destino livre de adulteração. No entanto, isso nem sempre é o caso.
A falsificação de IP usa o cabeçalho IP de origem e altera alguns dos detalhes para que pareça genuíno. Como tal, isso pode violar até mesmo as redes mais rigorosas e seguras. O resultado é que os engenheiros da web muitas vezes tentam encontrar novas maneiras de proteger as informações que viajam pela web.
Por exemplo, o IPv6 é um protocolo mais recente que cria criptografia e autenticação. Para usuários finais, o Secure Shell (SSH) e o Secure Socket Layers (SSL) ajudam a mitigar os ataques, mas discutiremos por que isso não pode erradicar o problema mais tarde. Quanto maior o número de etapas de criptografia que você implementar, melhor poderá proteger seu computador, pelo menos em teoria.
Também vale a pena notar que a falsificação de IP não é uma prática ilegal, e é por isso que é predominante. Existem muitos usos legítimos para falsificação de IP que discutiremos em outra seção. Como tal, enquanto a falsificação de IP em si coloca o pé de um hacker na porta, pode não ser a única técnica usada para quebrar a confiança.
Por que seu IP é um alvo para spoofing
Deixando de lado todas as considerações morais e éticas, a identidade do usuário de outra pessoa tem imenso valor e valor. Afinal, há muitos maus atores que, se tivessem oportunidade, usariam de bom grado a identidade de outra pessoa para obter algo, livre de repercussões morais.
A falsificação de endereços IP é uma busca de alto valor para muitos usuários mal-intencionados. O ato de falsificação de IP não tem muito valor, mas as oportunidades que você ganhará podem ser o jackpot.
Por exemplo, por meio de falsificação de IP, um usuário pode representar um endereço mais confiável para obter informações pessoais (e mais) de um usuário desavisado.
Isso também pode ter um efeito indireto quando se trata de outros usuários. Um hacker não precisa falsificar o IP de todos os alvos - eles só precisam de um para violar as defesas. Ao usar essas credenciais não conquistadas, o mesmo hacker também pode ganhar a confiança de outros na rede e levá-los a compartilhar informações pessoais.
Como tal, o IP em si não é valioso. No entanto, dependendo do que for feito com o IP falsificado, a recompensa pode ser enorme, e o potencial de acesso a outros sistemas por meio da falsificação de IP também não é insignificante.
3 tipos mais comuns de ataques de falsificação de IP
A falsificação de IP se presta bem a certos tipos de ataques. Vamos passar três a seguir.
1. Mascarando Botnets
Um botnet é uma rede de computadores que um invasor controla de uma única fonte. Cada um desses computadores executa um bot dedicado, que executa os ataques em nome do agente mal-intencionado. Você descobrirá que a capacidade de mascarar botnets não seria possível sem a falsificação de IP.
Em circunstâncias normais, os hackers obtêm o controle por meio de infecções, como malware. O uso de botnets pode ajudar um usuário mal-intencionado a executar ataques de spam, ataques DDoS, fraude de anúncios, ataques de ransomware e muito mais. É uma maneira versátil de realizar escaramuças direcionadas contra outros usuários.
Parte da razão para isso é a falsificação de IP. Cada bot na rede geralmente tem um IP falsificado, dificultando o rastreamento do agente mal-intencionado.
O principal benefício de falsificar IPs aqui é evitar a aplicação da lei. No entanto, este não é o único.
Por exemplo, o uso de botnets com IPs falsificados também impede que o alvo notifique os proprietários sobre o problema. Para começar, isso pode prolongar o ataque e permitir que o hacker “direcione” o foco para outras marcas. Em teoria, isso poderia resultar em um ataque executado em uma base infinita para maximizar o retorno.
2. Ataques diretos de negação de serviço (DDoS)
Se um site ficar inativo devido ao excesso de tráfego malicioso no servidor, isso é um ataque DDoS. Pode ser incapacitante para qualquer proprietário de site, e há muitas maneiras de mitigar os efeitos.
Isso abrange vários ataques e técnicas de falsificação relacionados que se combinam para criar todo o ataque.
Falsificação de DNS
Primeiro, um usuário mal-intencionado procurará falsificação de DNS para se infiltrar em uma rede. Um agente mal-intencionado usará a falsificação para alterar o nome de domínio associado ao DNS para outro endereço IP.
A partir daqui, você pode realizar vários outros ataques, mas a infecção por malware é uma escolha popular. Como ele basicamente desvia o tráfego de fontes legítimas para fontes maliciosas sem detecção, é fácil infectar outro computador. A partir daí, mais máquinas sucumbirão à infecção e criarão a botnet para realizar o ataque DDoS com eficiência.
Falsificação de endereço IP
Após a falsificação de DNS, um invasor realizará outra falsificação de endereço IP para ajudar a ofuscar os bots individuais na rede. Isso geralmente segue um processo de randomização perpétua. Como tal, o endereço IP nunca permanece o mesmo por muito tempo, o que torna praticamente impossível detectar e rastrear.
Quer saber como aumentamos nosso tráfego em mais de 1000%?
Junte-se a mais de 20.000 pessoas que recebem nossa newsletter semanal com dicas privilegiadas do WordPress!
Esse ataque em nível de rede é impossível para um usuário final detectar (e também atrapalha muitos especialistas do lado do servidor). É uma maneira eficaz de realizar ataques maliciosos sem consequências.
Intoxicação por ARP
A falsificação de ARP (ou “envenenamento”) é outra maneira de conduzir ataques DDoS. É muito mais complexo do que o método de força bruta de mascarar botnets e falsificação de IP, mas incorpora ambos para realizar um ataque.
A ideia é atingir uma rede local (LAN) e enviar pacotes de dados ARP maliciosos para alterar os endereços IP definidos em uma tabela MAC. É uma maneira fácil para um invasor obter acesso a um grande número de computadores de uma só vez.
O objetivo do envenenamento ARP é canalizar todo o tráfego de rede através de um computador infectado e manipulá-lo a partir daí. Isso é simples de fazer através do computador do invasor e permite que ele escolha entre um ataque DDoS ou MITM.
3. Ataques MITM
Os ataques Machine-in-the-Middle (MITM) são particularmente complexos, altamente eficazes e totalmente catastróficos para uma rede.
Esses ataques são uma maneira de interceptar os dados do seu computador antes que eles cheguem ao servidor ao qual você se conecta (digamos, com seu navegador da web). Isso permite que o invasor interaja com você usando sites falsos para roubar suas informações. Em alguns casos, o invasor é um terceiro que intercepta a transmissão entre duas fontes legítimas, o que aumenta a eficácia do ataque.
Obviamente, os ataques MITM dependem da falsificação de IP, pois é necessário que haja uma quebra de confiança sem que o usuário esteja ciente. Além disso, há maior valor em realizar um ataque MITM em comparação com outros, porque um hacker pode continuar coletando dados a longo prazo e vendê-los a outros.
Casos reais de ataques MITM mostram como a falsificação de IP entra em ação. Se você falsificar um endereço IP e obter acesso a contas de comunicação pessoal, isso permitirá que você rastreie qualquer aspecto dessa comunicação. A partir daí, você pode selecionar informações, encaminhar usuários para sites falsos e muito mais.
No geral, um ataque MITM é uma maneira perigosa e altamente lucrativa de obter informações do usuário, e a falsificação de IP é uma parte central disso.
Por que a falsificação de IP é perigosa para seu site e usuários
Como a falsificação de IP é algo que acontece em um nível de rede baixo, é um perigo para quase todos os usuários da Internet.
Phishing e spoofing andam de mãos dadas. E um bom ataque de spoofing não se apresentará como uma tentativa de phishing. Isso significa que os usuários não terão nenhuma indicação para serem cautelosos e podem entregar informações confidenciais como resultado.
Elementos críticos para os negócios serão o alvo principal, como sistemas de segurança e firewalls. É por isso que a segurança do site é uma preocupação número um para muitos. Você não apenas precisa implementar funcionalidades suficientes para mitigar um ataque, mas também garantir que os usuários de sua rede estejam atentos e usem boas práticas de segurança.
Precisa de hospedagem extremamente rápida, confiável e totalmente segura para o seu site WordPress? Kinsta fornece tudo isso e suporte de classe mundial 24 horas por dia, 7 dias por semana, de especialistas em WordPress. Confira nossos planos
No entanto, um aspecto da falsificação de IP torna a restrição menos direta: a técnica tem muitos casos de uso legítimos em toda a web.
Usos legítimos para falsificação de IP
Como a falsificação de IP tem muitos casos de uso não maliciosos, há pouco que você possa fazer para impedir que outras pessoas a usem.
Por exemplo, milhares de “hackers éticos” procuram testar sistemas para empresas. Esse tipo de hacking ético é uma violação sancionada do sistema, projetada para testar os recursos e a força de segurança.
Isso seguirá o mesmo processo do hacking malicioso. O usuário realizará o trabalho de reconhecimento no alvo, obterá e manterá o acesso ao sistema e ofuscará sua penetração.
Muitas vezes você descobrirá que hackers antiéticos se convertem em tipos éticos e encontram emprego em empresas que podem ter considerado um alvo no passado. Você pode até encontrar exames e certificações oficiais para ajudá-lo a obter as credenciais adequadas.
Algumas empresas também usarão a falsificação de IP em exercícios de simulação não relacionados a violações do sistema. Por exemplo, envios em massa são um bom caso de uso para milhares de endereços IP, e todos eles precisarão ser criados por meio de falsificação (legítima).
Os testes de registro de usuários também usam falsificação de IP para simular os resultados. Qualquer situação em que você precise simular muitos usuários é um caso ideal para falsificação ética de IP.
Por que você não pode impedir a falsificação de IP
Como o spoofing é tão difícil de detectar e como a natureza do método é ocultar uma identidade verdadeira, há pouco que você possa fazer para evitar que isso aconteça. No entanto, você pode minimizar o risco e negar o impacto.
É importante notar que um usuário final (ou seja, a máquina do lado do cliente) não pode parar de falsificar de forma alguma. É o trabalho da equipe do lado do servidor impedir a falsificação de IP da melhor maneira possível.
Existem algumas maneiras de adicionar bloqueios entre um hacker e um alvo em potencial. Alguns mencionados até agora incluem:
- Usando um protocolo mais seguro, como IPv6
- Garantir que a base de usuários implemente uma boa segurança individual ao usar o site e a rede
- Implementando SSL e SSH em seu site
No entanto, há mais que você pode fazer. Por exemplo, você pode usar um firewall de aplicativo da Web (WAF) dedicado, como o Sucuri, que ajudará a “construir muros altos” em torno de seu site.
Você também pode implementar a infraestrutura crítica pública (PKI) para ajudar a autenticar usuários e dados associados. Isso depende de uma combinação de chave privada e pública para criptografar e descriptografar dados. Devido à natureza da criptografia, é muito mais desafiador para os hackers violarem.
O monitoramento de rede é uma técnica básica que também pode ajudá-lo a identificar os sinais de falsificação de IP ou ataques relacionados. Isso pode assumir várias formas, mas quanto melhor você conhecer seu sistema, maior será a chance de detectar ataques maliciosos.
A filtragem de pacotes também pode ajudar a combater tentativas de falsificação de IP. A filtragem de “entrada” e “saída” analisa os cabeçalhos de origem para comunicações de entrada e saída. Se algo não passar nesse filtro, não afetará os usuários na rede.
Por fim, a inspeção profunda de pacotes (DPI) é uma técnica semelhante que é igualmente eficaz. Isso, juntamente com os outros métodos aqui, pode até ser combinado para ajudar a fortalecer uma rede ou servidor.
Resumo
Seu endereço IP é exclusivo para você, assim como para cada computador em uso hoje. Esse endereço ajuda a realizar muitas tarefas, como autenticação, criptografia e muito mais. Por extensão, isso torna quase qualquer endereço IP um alvo para possíveis hackers ou criminosos.
A falsificação de IP falsifica a legitimidade de um endereço e o usa para violar redes seguras para obter mais ganhos.
Corrigir a falsificação de IP é algo fora do controle do usuário final e pode ser difícil para os administradores de sistema lidarem também. No geral, você só pode mitigar o impacto que a falsificação de IP tem em sua rede, em vez de erradicá-la totalmente.
Mesmo assim, há muitos obstáculos que você pode colocar no caminho de um usuário potencialmente mal-intencionado. Os métodos de criptografia típicos ajudam, assim como uma boa estratégia de firewall e monitoramento de rede.
Você é vítima de falsificação de IP e, em caso afirmativo, como resolveu a situação? Compartilhe seus pensamentos na seção de comentários abaixo!