• Viernes, 9 de enero de 2009 - 19:07:59
• registrados : 1160059
• conectados : 74161
• preguntas/dia : 5423
• % respuestas : 76.61%

Suplantación de dirección IP

"La "suplantación de dirección IP" es una técnica que consiste en reemplazar la dirección IP de un paquete IP del remitente por la dirección IP de otro equipo.

Esta técnica le permite al pirata enviar paquetes de manera anónima. No se trata de cambiar la dirección IP, sino de suplantar la dirección IP al enviar los paquetes.

Algunas personas se inclinan a incorporar el uso de un proxy (que posibilita ocultar la dirección IP) con suplantación de IP. Sin embargo, los proxys sólo envían paquetes. Por lo tanto, aunque la dirección aparentemente está oculta, se puede encontrar a un pirata fácilmente gracias al archivo de registro del proxy.

Ataque de suplantación

La técnica de suplantación de dirección IP permite que un pirata envíe paquetes a una red sin que el sistema de filtrado de paquetes (firewall) los intercepte.

Los sistemas firewall a menudo se basan en reglas de filtrado que indican las direcciones IP autorizadas a comunicarse con la red de los equipos internos.

Un paquete cuya dirección IP se ha suplantado por la de un equipo interno parecerá provenir de la red interna y se transferirá al equipo de destino, mientras que un paquete con una dirección IP externa será rechazado automáticamente por el firewall.

Sin embargo, el protocolo TCP (protocolo que básicamente garantiza la transferencia fiable de datos a través de Internet) se basa en relaciones de autenticación y confianza entre la red de los equipos. Esto significa que para aceptar el paquete, el receptor debe acusar recibo del remitente y éste tiene que acusar recibo de la confirmación.

Modificación del encabezado TCP

La información circula por Internet gracias al protocolo IP, que garantiza la encapsulación de datos en estructuras llamadas paquetes (o más precisamente datagramas IP). Así es la estructura de un datagrama:

La suplantación de una dirección IP implica modificar el campo origen para simular un datagrama que proviene de otra dirección IP. Pero los paquetes en Internet se envían, por lo general, a través del protocolo TCP, lo que garantiza una transmisión "fiable".

Antes de aceptar un paquete, el equipo primero debe acusar recibo del paquete enviado por el equipo remitente y esperar que éste acuse recibo de la confirmación.

Relaciones de confianza

El protocolo TCP es uno de los protocolos principales del nivel de transporte de los modelos TCP/IP. En el nivel de aplicación, permite administrar datos que provienen del (o van al) nivel más bajo del modelo (es decir, el protocolo IP).

Aunque use el protocolo IP (que no verifica el envío de datagramas), el protocolo TCP permite la transferencia de datos fiable gracias al sistema de acuse de recibo (ACK) que permite que el cliente y el servidor se aseguren de que se hayan recibido los datos en ambos lados.

Los datagramas IP agrupan paquetes TCP (llamados segmentos) que se estructuran así:

Al enviar un segmento, éste se asocia a un número de secuencia y el intercambio de segmentos que contienen campos especiales (llamados indicadores) posibilita sincronizar al cliente y al servidor.
Este diálogo (que se llama negociación de tres vías) permite iniciar la comunicación que se divide en tres fases, como su nombre lo sugiere:

• Primero, el equipo remitente (el cliente) envía un segmento cuyo indicador SYN está en 1 (para demostrar que es un segmento de sincronización) con un número de secuencia N, que se llama el número de secuencia inicial del cliente.
• En segundo lugar, el equipo receptor (el servidor) recibe el segmento inicial del cliente y luego envía un acuse de recibo, es decir, un segmento cuyo indicador ACK no sea nulo (acuse de recibo) y cuyo SYN esté en 1 (ya que aun es una sincronización). Este segmento contiene un número de secuencia que es igual al número de secuencia inicial del cliente. El campo más importante en este segmento es el de acuse de recibo (ACK) que contiene el número de secuencia inicial del cliente incrementado en 1.
• Por último, el cliente envía al servidor un acuse de recibo, que es un segmento cuyo indicador ACK no es nulo y cuyo indicador SYN está en cero (ya no es más un segmento de sincronización). Su número de secuencia está incrementado y el acuse de recibo representa el número de secuencia inicial del servidor incrementado en 1.

Destrucción del equipo con IP suplantada

Al llevar a cabo un ataque de suplantación de una dirección IP, el atacante no recibe información a cambio porque las respuestas del equipo de destino son direccionadas a la red de otro equipo (esto se conoce como ataque a ciegas).

Además, no deja al atacante intentar una conexión ya que sistemáticamente envía un indicador de RST al equipo de destino. Por consiguiente, el trabajo del pirata consiste en invalidar el equipo con IP suplantada al hacerlo inaccesible durante todo el ataque.

Predicción de números de secuencia

Una vez que el equipo con IP suplantada se ha invalidado, el equipo de destino espera el paquete que contiene el acuse de recibo y el número de secuencia correcto. Lo que el pirata debe hacer es "adivinar" el número de secuencia a devolver al servidor y así establecer la relación de confianza.

Para logarlo, los piratas usan, en general, el enrutamiento de origen, es decir, usan el campo opción en el encabezado IP para indicarle al paquete una ruta de retorno específica. Por lo tanto, gracias al rastreador de puertos, el pirata podrá leer el contenido de los paquetes de retorno.

Basta saber el último número de secuencia enviado para que el pirata trace las estadísticas sobre su incrementación y envíe acuse de recibo hasta obtener el número de secuencia correcto.

Más información

• CERT® Advisory CA-1995-01 IP Spoofing Attacks and Hijacked Terminal Connections
• RFC 793 - Transmission Control Protocol - Protocol Specification
• RFC 1948 - Defending Against Sequence Number Attacks