Ataque - Spoofing

Um ataque spoofing envolve a falsificação do endereço de origem. É o acto de usar uma máquina para representar o papel de outra. A maioria das aplicações e ferramentas no UNIX baseam-se na autenticação do IP de origem.

Muitos programadores têm usado controle de acesso baseado na máquina para segurança das suas redes. O endereço IP de origem é um identificador único mas não é fiável. Ele pode facilmente ser forjado (spoofed).

Para entender o processo de spoofing, Primeiro vou explicar o o processo de autenticação do TCP e do IP e depois como um atacante pode enganar a sua rede.

O sistema cliente começa por enviar uma mensagem SYN para o servidor. O servidor então confirma a menssagem SYN enviando uma mensagem de SYN-ACK para o cliente. O cliente então completa estabelecendo a conexão respondendo com uma mensagem de ACK.

A conexão entre o cliente e o servidor é então aberta, e os dados específicos do serviço podem ser trocado entre o cliente e o servidor.

Cliente e servidor podem agora enviar dados específicos do serviço.

O TCP usa números sequênciais. Quando um circuito virtual é estabelecido entre duas máquinas, o TCP designa para cada pacote um número com um índice identificador. Amboa as máquinas usam este número para verificarem erros e fazerem relatórios.

Rik Farrow, no seu artigo “Sequence Number Attacks”, explica o sistema de números sequênciais como sendo o seguinte:

“Os números sequênciais são usados para confirmar a recepção de dados. No início de uma ligação TCP, o cliente envia um pacote TCP com uma número sequêncial inicial, mas nenhum reconhecimento.

Se existir um servidor de aplicação a correr na outra ponta da ligação, o servidor envia de volta um pacote TCP com o seu próprio número sequêncial, e o reconhecimento; o número inicial do pacote do cliente mais um. Quando o sistema cliente recebe este pacote, ele deve enviar de volta o seu próprio reconhecimento; a sequência de número inicial do servidor mais um.”

Desta forma um atacante tem dois problemas

1. Ele deve falsificar o endereço origem.
2. Ele deve manter um número sequêncial com o destino.

A segunda tarefa é a mais complicada porque quando o destino ajusta o número sequêncial inicial, o agressor deve responder correctamente. Assim que o agressor adivinhe o número sequêncial correcto, pode então sincronizar com o destino e estabelecer uma sessão válida.

Serviços vulneráveis ao IP Spoofing: Configurações e serviços que são vulneráveis ao IP spoofing :

RPC (Serviços de Invocação Remota de Funções) Qualquer serviço que use autenticação de endereço IP O sistema X Window O conjunto de serviços R (rlogin, rsh, etc.) TCP e Ferramentas de IP spoofing:

1. Mendax para Linux

Mendax é uma ferramenta de uso fácil para prever o número sequêncial TCP e para rshd spoofing.

2. spoofit.h

spoofit.h é uma biblioteca muito bem comentada para inclusão de funcionalidades IP spoofing dentro de seus programas. [URL actual desconhecido. -Ed.]

3. ipspoof

ipspoof é um utilitário para TCP e IP spoofing.

4. hunt

hunt é um sniffer que também oferece muitas funções de spoofing.

5. dsniff

dsniff é uma coleção de ferramentas para auditar redes e para testes de penetração. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, e webspy vigiam passivamente uma rede para conseguir dados interessantes (palavras-chave, e-mail, ficheiros, etc.). arpspoof, dnsspoof, e macof auxiliam na interceptação de tráfego de rede.

Medidas para se prevenir de ataques IP Spoofing:

Evite usar autenticação de endereço de origem. Implemente criptografia na autenticação em todo o sistema.

Configure a sua rede para rejeitar pacotes de redes externas que declaram ser de um endereço local. Isto é geralmente feito com um router. Se você permitir ligações externas de máquinas seguras, possibilite encriptação da sessão no router.

Conclusão

Ataques spoofing são muito perigosos e difíceis de detectar. Eles estão se tornando cada vez mais frequentes actualmente. O único jeito de prevenir estes ataques é implementar medidas de segurança como autenticação cifrada para proteger a sua rede.