[GTER] Ataques com IP Spoofing - 'IP Smart Spoofing'

cribeiro at mail.inet.com.br cribeiro at mail.inet.com.br
Tue Nov 5 23:40:00 -02 2002


Vi o artigo a seguir no InfoGuerra (aliás, não conhecia o site, vi hoje e
achei muito bom - parabéns aos editores!). Tenho alguns comentários para
repartir com turma da lista.
Descoberta nova técnica para burlar filtros de redes:
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1035980402,28360,

The IP Smart Spoofing:
www.althes.fr/ressources/avis/smartspoofing.htm.

O artigo trata de uma técnica que o autor chamou de 'IP Smart Spoofing'. É
basicamente o mesmo que o IP Spoofing tradicional, mas com uma diferença
interessante. O autor percebeu que, em uma determinada topologia de rede
bem particular, é possível fazer IP spoofing de forma transparente,
interceptando a comunicação entre um cliente dentro da rede e um servidor
na Internet de tal forma que:
- o cliente não percebe que seu tráfego foi interceptado;
- o servidor acha que só está falando com um cliente normal(com o IP do
cliente);- o atacante consegue criar conexões IP 'em nome' do cliente, sem que
ninguém perceba.
O artigo baseia-se em uma premissa interessante, que é o comportamento de
diferentes equipamentos e sistemas operacionais com relação a ARP
Spoofing. Segundo o autor, todos os sistemas que ele testou são
vulneráveis a algum tipo de mensagem ARP falsificada, e portanto
vulneráveis à técnica de 'IP Smart Spoofing'. Me lembro de já ter ficado
curioso e discutido o assunto há algum tempo atrás, quando estávamos
analisando o comportamento de um equipamento em particular. Ficamos com
uma dúvida quanto ao comportamento do equipamento se recebesse mensagens
de ARP falsificadas, e chegamos a falar sobre um teste mais 'científico',
mas acabamos por não fazer nada disso. O resultado que ele aponta é
interessante, mas é pena que o artigo disponibilizado para leitura não dá
maiores detalhes a respeito dessa vulnerabilidade.
Finalmente, apesar de ter achado a técnica interessante, achei que o
artigo ficou superficial. Faltam detalhes explicando como é que as
diferentes plataformas se comportam com relação aos ataques baseados em
falsificação de ARPs. Também falta um estudo mais detalhado que poderia
indicar uma semântica mais robusta para resistir a este tipo de ataque.
Outra crítica é a falta de um estudo mais profundo da topologia utilizada,
pois não sei até que ponto ela é representativa de redes reais. Suponho
que pequenas diferenças na arquitetura tornam o ataque proposto impossível
de ser realizado na prática. Da mesma forma, também suponho que algumas
variações da mesma técnica podem ser efetivas em outras topologias.

Carlos Ribeiro
INFTEC - Informação & Tecnologia Ltda.





More information about the gter mailing list