[GTER] Ataques com IP Spoofing - 'IP Smart Spoofing'

Giordani Rodrigues giordani at infoguerra.com.br
Mon Nov 11 14:13:00 -02 2002


Olá Carlos,

Sou o editor do site InfoGuerra. Fico contente por você ter gostado do site.
A matéria à qual você se refere é de fonte terceira, por isso não tenho
muito a acrescentar ao que você disse, já que basicamente limitei-me a
editar um ou outro trecho do texto. Mesmo assim, tenho duas sugestões em
relação aos seus questionamentos. A primeira seria que você escrevesse
diretamente ao autor da descrição da técnica, se ainda não o fez. É provável
que boa parte das dúvidas sejam esclarecidas assim. A segunda sugestão seria
que você escrevesse uma réplica ao "paper", seja em forma de artigo ou de
outro paper. Se você escrever um artigo não-técnico, que possa ser
compreendido pelo público leigo, prometo publicá-lo. Caso opte por um texto
mais técnico, poderei mesmo assim escrever uma nota com link para o seu
texto, como foi o caso da matéria em questão.

Um abraço.

----------------------------------------------------------------------------
-
Giordani Rodrigues - Editor
InfoGuerra - Segurança e privacidade
URL: http://www.infoguerra.com.br
E-mail: editor at infoguerra.com.br


----- Original Message -----
From: <cribeiro at mail.inet.com.br>
To: <gter at eng.registro.br>
Sent: Tuesday, November 05, 2002 10:39 PM
Subject: [GTER] Ataques com IP Spoofing - 'IP Smart Spoofing'


> Vi o artigo a seguir no InfoGuerra (aliás, não conhecia o site, vi hoje e
> achei muito bom - parabéns aos editores!). Tenho alguns comentários para
> repartir com turma da lista.
> Descoberta nova técnica para burlar filtros de redes:
> http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1035980402,28360,
>
> The IP Smart Spoofing:
> www.althes.fr/ressources/avis/smartspoofing.htm.
>
> O artigo trata de uma técnica que o autor chamou de 'IP Smart Spoofing'. É
> basicamente o mesmo que o IP Spoofing tradicional, mas com uma diferença
> interessante. O autor percebeu que, em uma determinada topologia de rede
> bem particular, é possível fazer IP spoofing de forma transparente,
> interceptando a comunicação entre um cliente dentro da rede e um servidor
> na Internet de tal forma que:
> - o cliente não percebe que seu tráfego foi interceptado;
> - o servidor acha que só está falando com um cliente normal(com o IP do
> cliente);- o atacante consegue criar conexões IP 'em nome' do cliente, sem
que
> ninguém perceba.
> O artigo baseia-se em uma premissa interessante, que é o comportamento de
> diferentes equipamentos e sistemas operacionais com relação a ARP
> Spoofing. Segundo o autor, todos os sistemas que ele testou são
> vulneráveis a algum tipo de mensagem ARP falsificada, e portanto
> vulneráveis à técnica de 'IP Smart Spoofing'. Me lembro de já ter ficado
> curioso e discutido o assunto há algum tempo atrás, quando estávamos
> analisando o comportamento de um equipamento em particular. Ficamos com
> uma dúvida quanto ao comportamento do equipamento se recebesse mensagens
> de ARP falsificadas, e chegamos a falar sobre um teste mais 'científico',
> mas acabamos por não fazer nada disso. O resultado que ele aponta é
> interessante, mas é pena que o artigo disponibilizado para leitura não dá
> maiores detalhes a respeito dessa vulnerabilidade.
> Finalmente, apesar de ter achado a técnica interessante, achei que o
> artigo ficou superficial. Faltam detalhes explicando como é que as
> diferentes plataformas se comportam com relação aos ataques baseados em
> falsificação de ARPs. Também falta um estudo mais detalhado que poderia
> indicar uma semântica mais robusta para resistir a este tipo de ataque.
> Outra crítica é a falta de um estudo mais profundo da topologia utilizada,
> pois não sei até que ponto ela é representativa de redes reais. Suponho
> que pequenas diferenças na arquitetura tornam o ataque proposto impossível
> de ser realizado na prática. Da mesma forma, também suponho que algumas
> variações da mesma técnica podem ser efetivas em outras topologias.
>
> Carlos Ribeiro
> INFTEC - Informação & Tecnologia Ltda.
>
>
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
>




More information about the gter mailing list