• No contexto de redes de computadores, spoofing é uma técnica de
subversão de sistemas de informação que consiste em mascarar pacotes ip utilizando endereços de remetentes falsificados. • Enganador, são programas usados para forjar pacotes TCP/IP, alterando o endereço do emissor. • Técnica sofisticada utilizada por hackers e crackers que os permite acessar sistemas controlados passando-se por pessoa autorizada a fazê-lo.
2 – O que é IP Spoofing?
Resumidamente, é um passo de vários ataques que consiste em explorar
as fraquezas de uma trusted network através da substituição do endereço IP de origem pelo IP de uma máquina que está dentro da rede. Sendo A o atacante, B o servidor e C uma máquina dentro da rede, o ataque realiza-se em 4 passos:
Passo 1 – A máquina A efetua um SYN flood1 a máquina C, para que esta
não responda a qualquer resposta que lhe chegue.
Passo 2 – A máquina B para obtém pacotes SYN/ACK e o número de
seqüência, para logo em seguida efetuar o ataque.
1 Ataque do tipo DOS (denial of service) a uma das portas da maquina que esteja fazendo um serviço Passo 3 – Envia um pacote SYN, com o IP de origem igual ao da máquina C, para a porta de rlogin (513) da máquina B, em seguida um pacote ACK, nas mesmas condições. Desta forma é estabelecida uma ligação entre as máquinas A e B, tornando possível que a máquina A execute qualquer comando, sem nunca receber a resposta da máquina B.
Passo 4 – Por fim, é enviado um pacote FIN a máquina C para terminar o
SYN flood. 3 – De que forma podem ser recebidas as respostas?
Sendo IP spoofing um ataque feito de forma cega, é impossível o
atacante receber diretamente alguma resposta, visto que todas as respostas são enviadas para o IP de origem definido no pacote.
Uma das formas do atacante ver as respostas que são enviadas para o outro cliente é, por exemplo, se recorrer a um packet sniffer2 para observar todo o tráfego da rede e extrair o que lhe interessa. IP spoofing é também um dos passos intermediários para muitos outros ataques, cujo objetivo é ter acesso às comunicações que são efetuadas na rede. Alguns exemplos de ataques são: • Teardrop: uma tentativa de DoS (Denial of Service) • Ping of death: uma tentativa de provocar um crash no sistema operativo enviando pacotes com um tamanho teórico superior ao que o TCP/IP suporta. • Ping storm: envio de um número anormalmente grande de pings, provocando um atraso na ligação. • ARP spoofing: ou ARP poisoning, explicado mais a frente.
3.1 – ARP spoofing
O protocolo ARP é utilizado em segmentos partilhados para mapear
endereços IP em endereços MAC. Porém, é particularmente vulnerável devido ao fato de utilizar broadcasts e não recorrer a nenhum tipo de autenticação. Sempre que é necessário enviar um datagrama IP é analisada a tabela de mapeamentos para verificar qual o endereço MAC do IP destino. Caso não exista nenhum mapeamento para o endereço IP é lançado um ARP request broadcast. Devido a este mecanismo é possível modificar as tabelas ARP na máquina B. Para isso basta enviar spoofed ARP responses, ou seja, o atacante envia mensagens ARP fazendo-se passar por outra máquina C em que B confie (é nesta fase que entra o IP spoofing). Desta forma, quando B recebe essas mensagens modifica o mapeamento do IP da máquina C para o endereço MAC do atacante, passando a enviar ao atacante todos os pacotes IP que originalmente seriam para C.
2 Farejamento de pacotes, é um método de espionagem, que permite interceptar os pacotes de dados transmitidos por outros micros, através da rede. 4 – Como evitar estes ataques?
O fato do atacante não receber as respostas diretamente, não o impede
de estabelecer uma ligação e executar comandos como se fosse um cliente de confiança (trusted). Por exemplo, no caso do rlogin que permite um usuário se conectar a uma máquina remota sem pedir qualquer tipo de autenticação se a ligação tiver origem numa máquina em que se confia. Algumas precauções que se devem tomar, para evitar este tipo de ataques são: • O mais lógico, nestas situações, é mesmo evitar utilizar relações de confiança. • Outra forma simples de resolver este problema é instalar um firewall ou um packet filter, para filtrar todos os pacotes que tenham origem fora da rede. • Usar protocolos seguros e cifrados como o IPSec. • Introduzir a utilização de números de seqüência iniciais aleatórios, de forma a dificultar a previsão dos números de seqüência. Para isso, é necessário usar PRNGs (pseudo-random-number generators).
5 – Como impedir os ataques recorrendo a switches?
Como foi explicado na seção anterior o ARP spoofing tem como objetivo re-mapear o endereço IP de uma determinada máquina da rede no endereço MAC do atacante para que se possam, por exemplo, utilizar ferramentas de sniffing para escutar o tráfego na rede. Para impedir que este e outros ataques aconteçam podem ser utilizadas em conjunto diversas técnicas recorrendo à utilização de switches. Static ARP tables – esta técnica, tal como o nome indica, impede a alteração dos mapeamentos ARP/IP existente. É necessário inicializar a tabela com os mapeamentos existentes que são utilizados até que alguém (possivelmente o administrador de redes) as altere manualmente na própria máquina, ou seja, a tabela permanece estática. MAC Address filtering – ativar a filtragem de endereços MAC nos switches. Esta técnica permite definir quais os endereços MAC que tem acesso à rede, impedindo a chegada ao destino de pacotes com origem em endereços MAC não especificados. MAC Locking – Nos switches mais modernos é possível ativar esta funcionalidade de segurança. Desta forma passa a ser possível associar um determinado endereço MAC a uma porta específica do switch.
6 – Vulnerabilidades dos switches
Hoje em dia switches capazes de suportar Virtual Lans são bastante
acessíveis à maior parte das pequenas e médias empresas. Contudo, existem várias questões relacionadas com vulnerabilidades inerentes as Virtual Lans. Inicialmente alguns switches permitiam incorretamente a passagem de dados entre Vlans sem que passassem primeiro por um processo de encaminhamento. Outra questão que também introduz falha na segurança diz respeito às interfaces de configuração que são acedidas através de protocolos inseguros, nomeadamente telnet e http. Desta forma, basta que um atacante efetue um Man In the middle attack e escute o tráfego da rede, para que consiga obter a informação necessária para poder acessar à interface de configuração do switch, tomando assim conta da mesma. Outra vulnerabilidade de alguns switches consiste na possibilidade de se efetuar um ataque de denial of service denominado land.c. Este ataque consiste no envio de um pacote SYN modificando os campos IP origem e IP destino com o IP da vítima bem como os campos porta origem e porta destino de forma a terem o mesmo valor. Assim, quando a vítima recebe o pacote, confirma o SYN para si mesma (já que o IP destino é o seu) criando um loop infinito e originando um DoS.
7 – Ferramentas de Ataques Embora haja atacantes que cheguem ao ponto de escrever seus próprios códigos para ataques de negação de serviço, há uma série de programas facilmente encontrados na Internet: • Tribe Flood Network (TFN): O atacante não precisa se logar ao operador. Os agentes podem atacar via UDP ou TCP. • Shaft: Permite mudança de portas de comunicação entre operador e agentes durante a conexão e tem recursos de coleta de estatísticas. • Tribe Flood Network 2000 (TFN2K): Versão melhorada do TFN, adiciona características para dificultar detecção do tráfego e controle remoto da rede de agentes. • Mstream: Gera inundações com tráfego TCP; operadores podem ser controlados remotamente por mais de um atacante, e a forma de comunicação entre operadores e agentes é manipulável em tempo de compilação.
Bibliografia:
RACKER INSIDE Top Secret. São Paulo: Editora Terra, Vol. 3, ago. 2007
FUNCIONAMENTO DO SPOOFING. Disponível em:
http://darklife.informe.com Acesso em : 11 mai. 2009
