FACECA - Faculdade Cenecista de Varginha

SISTEMAS DE INFORMAÇÃO

SPOOFING

César Augusto da Costa Santos

Fabrício Leite Macêdo

Thiago Cardoso Araújo

Varginha 2009
 1 – Definições:

• No contexto de redes de computadores, spoofing é uma técnica de

subversão de sistemas de informação que consiste em mascarar
pacotes ip utilizando endereços de remetentes falsificados.
• Enganador, são programas usados para forjar pacotes TCP/IP,
alterando o endereço do emissor.
• Técnica sofisticada utilizada por hackers e crackers que os permite
acessar sistemas controlados passando-se por pessoa autorizada a
fazê-lo.

2 – O que é IP Spoofing?

Resumidamente, é um passo de vários ataques que consiste em explorar

as fraquezas de uma trusted network através da substituição do endereço IP de
origem pelo IP de uma máquina que está dentro da rede.
Sendo A o atacante, B o servidor e C uma máquina dentro da rede, o
ataque realiza-se em 4 passos:

Passo 1 – A máquina A efetua um SYN flood1 a máquina C, para que esta

não responda a qualquer resposta que lhe chegue.

Passo 2 – A máquina B para obtém pacotes SYN/ACK e o número de

seqüência, para logo em seguida efetuar o ataque.

1
Ataque do tipo DOS (denial of service) a uma das portas da maquina que esteja fazendo um serviço
 Passo 3 – Envia um pacote SYN, com o IP de origem igual ao da máquina
C, para a porta de rlogin (513) da máquina B, em seguida um pacote ACK, nas
mesmas condições. Desta forma é estabelecida uma ligação entre as
máquinas A e B, tornando possível que a máquina A execute qualquer
comando, sem nunca receber a resposta da máquina B.

Passo 4 – Por fim, é enviado um pacote FIN a máquina C para terminar o

SYN flood.
 3 – De que forma podem ser recebidas as respostas?

Sendo IP spoofing um ataque feito de forma cega, é impossível o

atacante receber diretamente alguma resposta, visto que todas as respostas
são enviadas para o IP de origem definido no pacote.

Uma das formas do atacante ver as respostas que são enviadas para o
outro cliente é, por exemplo, se recorrer a um packet sniffer2 para observar
todo o tráfego da rede e extrair o que lhe interessa.
IP spoofing é também um dos passos intermediários para muitos outros
ataques, cujo objetivo é ter acesso às comunicações que são efetuadas na
rede. Alguns exemplos de ataques são:
• Teardrop: uma tentativa de DoS (Denial of Service)
• Ping of death: uma tentativa de provocar um crash no sistema
operativo enviando pacotes com um tamanho teórico superior ao que
o TCP/IP suporta.
• Ping storm: envio de um número anormalmente grande de pings,
provocando um atraso na ligação.
• ARP spoofing: ou ARP poisoning, explicado mais a frente.

3.1 – ARP spoofing

O protocolo ARP é utilizado em segmentos partilhados para mapear

endereços IP em endereços MAC. Porém, é particularmente vulnerável devido
ao fato de utilizar broadcasts e não recorrer a nenhum tipo de autenticação.
Sempre que é necessário enviar um datagrama IP é analisada a tabela de
mapeamentos para verificar qual o endereço MAC do IP destino. Caso não
exista nenhum mapeamento para o endereço IP é lançado um ARP request
broadcast. Devido a este mecanismo é possível modificar as tabelas ARP na
máquina B. Para isso basta enviar spoofed ARP responses, ou seja, o atacante
envia mensagens ARP fazendo-se passar por outra máquina C em que B
confie (é nesta fase que entra o IP spoofing). Desta forma, quando B recebe
essas mensagens modifica o mapeamento do IP da máquina C para o
endereço MAC do atacante, passando a enviar ao atacante todos os pacotes
IP que originalmente seriam para C.

2
Farejamento de pacotes, é um método de espionagem, que permite interceptar os pacotes de dados transmitidos por
outros micros, através da rede.
 4 – Como evitar estes ataques?

O fato do atacante não receber as respostas diretamente, não o impede

de estabelecer uma ligação e executar comandos como se fosse um cliente de
confiança (trusted). Por exemplo, no caso do rlogin que permite um usuário se
conectar a uma máquina remota sem pedir qualquer tipo de autenticação se a
ligação tiver origem numa máquina em que se confia.
Algumas precauções que se devem tomar, para evitar este tipo de
ataques são:
• O mais lógico, nestas situações, é mesmo evitar utilizar relações de
confiança.
• Outra forma simples de resolver este problema é instalar um firewall
ou um packet filter, para filtrar todos os pacotes que tenham origem
fora da rede.
• Usar protocolos seguros e cifrados como o IPSec.
• Introduzir a utilização de números de seqüência iniciais aleatórios, de
forma a dificultar a previsão dos números de seqüência. Para isso, é
necessário usar PRNGs (pseudo-random-number generators).

5 – Como impedir os ataques recorrendo a switches?

Como foi explicado na seção anterior o ARP spoofing tem como objetivo
re-mapear o endereço IP de uma determinada máquina da rede no endereço
MAC do atacante para que se possam, por exemplo, utilizar ferramentas de
sniffing para escutar o tráfego na rede. Para impedir que este e outros ataques
aconteçam podem ser utilizadas em conjunto diversas técnicas recorrendo à
utilização de switches.
Static ARP tables – esta técnica, tal como o nome indica, impede a
alteração dos mapeamentos ARP/IP existente. É necessário inicializar a tabela
com os mapeamentos existentes que são utilizados até que alguém
(possivelmente o administrador de redes) as altere manualmente na própria
máquina, ou seja, a tabela permanece estática.
MAC Address filtering – ativar a filtragem de endereços MAC nos
switches. Esta técnica permite definir quais os endereços MAC que tem acesso
à rede, impedindo a chegada ao destino de pacotes com origem em endereços
MAC não especificados.
MAC Locking – Nos switches mais modernos é possível ativar esta
funcionalidade de segurança. Desta forma passa a ser possível associar um
determinado endereço MAC a uma porta específica do switch.

6 – Vulnerabilidades dos switches

Hoje em dia switches capazes de suportar Virtual Lans são bastante

acessíveis à maior parte das pequenas e médias empresas. Contudo, existem
várias questões relacionadas com vulnerabilidades inerentes as Virtual Lans.
Inicialmente alguns switches permitiam incorretamente a passagem de
dados entre Vlans sem que passassem primeiro por um processo de
encaminhamento.
 Outra questão que também introduz falha na segurança diz respeito às
interfaces de configuração que são acedidas através de protocolos inseguros,
nomeadamente telnet e http. Desta forma, basta que um atacante efetue um
Man In the middle attack e escute o tráfego da rede, para que consiga obter a
informação necessária para poder acessar à interface de configuração do
switch, tomando assim conta da mesma.
Outra vulnerabilidade de alguns switches consiste na possibilidade de se
efetuar um ataque de denial of service denominado land.c. Este ataque
consiste no envio de um pacote SYN modificando os campos IP origem e IP
destino com o IP da vítima bem como os campos porta origem e porta destino
de forma a terem o mesmo valor. Assim, quando a vítima recebe o pacote,
confirma o SYN para si mesma (já que o IP destino é o seu) criando um loop
infinito e originando um DoS.

7 – Ferramentas de Ataques
Embora haja atacantes que cheguem ao ponto de escrever seus próprios
códigos para ataques de negação de serviço, há uma série de programas
facilmente encontrados na Internet:
• Tribe Flood Network (TFN): O atacante não precisa se logar ao
operador. Os agentes podem atacar via UDP ou TCP.
• Shaft: Permite mudança de portas de comunicação entre operador e
agentes durante a conexão e tem recursos de coleta de estatísticas.
• Tribe Flood Network 2000 (TFN2K): Versão melhorada do TFN,
adiciona características para dificultar detecção do tráfego e controle
remoto da rede de agentes.
• Mstream: Gera inundações com tráfego TCP; operadores podem ser
controlados remotamente por mais de um atacante, e a forma de
comunicação entre operadores e agentes é manipulável em tempo de
compilação.

Bibliografia:

RACKER INSIDE Top Secret. São Paulo: Editora Terra, Vol. 3, ago.
2007

FUNCIONAMENTO DO SPOOFING. Disponível em:

http://darklife.informe.com
Acesso em : 11 mai. 2009