Spoofing
Páginas: 10 (2478 palabras)
Publicado: 10 de septiembre de 2011
SPOOFING
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general sepuede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
IP Spoofing
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro deTCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spooofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo deataque de flood conocido como ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado.También hay que tener en cuenta que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
ARP Spoofing
Artículo principal: ARP Spoofing
Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARPmodificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando unhost quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante queemita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta manera la información dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos deOSI, por lo que esta técnica sólo puede ser utilizada en redes LAN oen cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP de red sean fijas), lo cual puede ser difícil en redes grandes.
Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto delos switches para evitar cambios en las direcciones MAC.
DNS Spoofing
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS,...
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general sepuede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
IP Spoofing
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro deTCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spooofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo deataque de flood conocido como ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado.También hay que tener en cuenta que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
ARP Spoofing
Artículo principal: ARP Spoofing
Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARPmodificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando unhost quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante queemita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta manera la información dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos deOSI, por lo que esta técnica sólo puede ser utilizada en redes LAN oen cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP de red sean fijas), lo cual puede ser difícil en redes grandes.
Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto delos switches para evitar cambios en las direcciones MAC.
DNS Spoofing
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS,...
Leer documento completo
Regístrate para leer el documento completo.