Ao longo deste artigo, falaremos sobre IP spoofing (falsifica\u00e7\u00e3o de IP), o que \u00e9, por que voc\u00ea \u00e9 um alvo, e muito mais. Tamb\u00e9m falaremos sobre alguns dos ataques de IP spoofing mais comuns que voc\u00ea enfrentar\u00e1, assim como alguns usos leg\u00edtimos para falsificar o IP.<\/p>\n
O que \u00e9 IP Spoofing?<\/h2>\n
Em um sentido geral, o IP Spoofing (falsifica\u00e7\u00e3o de IP) toma uma parte dos dados que voc\u00ea envia pela internet e faz parecer que \u00e9 de uma fonte leg\u00edtima. IP spoofing \u00e9 um termo muito abrangente para muitos ataques diferentes:<\/p>\n
- \n
- Falsifica\u00e7\u00e3o do endere\u00e7o IP:<\/b> Esta \u00e9 uma ofusca\u00e7\u00e3o direta do endere\u00e7o IP do atacante para conduzir ataques de nega\u00e7\u00e3o de servi\u00e7o (DoS)<\/a>, e muito mais.<\/li>\n
- Falsifica\u00e7\u00e3o do servidor de nomes de dom\u00ednio (DNS)<\/a>: Isto modificar\u00e1 o IP de origem do DNS para redirecionar um nome de dom\u00ednio para um IP diferente.<\/li>\n
- Falsifica\u00e7\u00e3o do protocolo de resolu\u00e7\u00e3o de endere\u00e7o (ARP):<\/b> Uma tentativa de falsifica\u00e7\u00e3o do ARP \u00e9 um dos ataques mais complexos. Consiste em ligar o endere\u00e7o MAC (media access control) de um computador de um IP leg\u00edtimo usando mensagens ARP falsificadas.<\/li>\n<\/ul>\n
Para obter mais informa\u00e7\u00f5es t\u00e9cnicas, a falsifica\u00e7\u00e3o de IP leva os dados e muda algumas informa\u00e7\u00f5es identific\u00e1veis em n\u00edvel de rede. Isto torna a falsifica\u00e7\u00e3o quase indetect\u00e1vel.<\/p>\n
Por exemplo, pegue um ataque DoS.<\/p>\n
Isto usa uma cole\u00e7\u00e3o de bots usando endere\u00e7os IP falsificados para enviar dados para um site e servidor em particular, levando-os para fora do ar. Aqui, a falsifica\u00e7\u00e3o de IP torna o ataque dif\u00edcil de detectar at\u00e9 que seja tarde demais, e \u00e9 igualmente dif\u00edcil de rastrear ap\u00f3s o fato.<\/p>\n
Os ataques MITM (Machine-in-the-middle) tamb\u00e9m utilizam a falsifica\u00e7\u00e3o de IP porque a abordagem MITM depende da falsifica\u00e7\u00e3o da confian\u00e7a entre dois pontos finais. Falaremos mais sobre esses dois ataques com mais detalhes mais tarde.<\/p>\n\n
Como acontece a falsifica\u00e7\u00e3o de IP<\/h2>\n
Para entender melhor a falsifica\u00e7\u00e3o de IP, vamos dar a voc\u00ea algum contexto sobre como a internet envia e usa os dados.<\/p>\n
Cada computador usa um endere\u00e7o IP<\/a>, e qualquer dado que voc\u00ea envia \u00e9 quebrado em muitos peda\u00e7os (“pacotes”). Cada pacote viaja em uma base individual. Ent\u00e3o, quando chegam ao fim da cadeia, eles s\u00e3o remontados e apresentados como um todo. Al\u00e9m disso, cada pacote tamb\u00e9m tem suas informa\u00e7\u00f5es identific\u00e1veis (um “cabe\u00e7alho”) que incluir\u00e1 o endere\u00e7o IP tanto da fonte quanto do destino.<\/p>\n
Em teoria, isto deve assegurar que os dados cheguem a um destino livre de adultera\u00e7\u00f5es. Entretanto, este nem sempre \u00e9 o caso.<\/p>\n
A falsifica\u00e7\u00e3o de IP usa o cabe\u00e7alho IP de origem e muda alguns dos detalhes para fazer parecer que \u00e9 genu\u00edno. Como tal, isto pode violar at\u00e9 mesmo a mais rigorosa e segura das redes. O resultado \u00e9 que os engenheiros da web frequentemente tentam encontrar novas maneiras de proteger as informa\u00e7\u00f5es que viajam atrav\u00e9s da web.<\/p>\n
Por exemplo, o IPv6 \u00e9 um protocolo mais novo<\/a> que constr\u00f3i criptografia e autentica\u00e7\u00e3o. Para os usu\u00e1rios finais, o secure shell (SSH) and secure socket layers (SSL)<\/a> ajudam a mitigar os ataques, mas discutiremos por que isso n\u00e3o pode erradicar o problema mais tarde. Quanto maior o n\u00famero de passos de criptografia que voc\u00ea implementar, melhor voc\u00ea pode proteger seu computador, pelo menos em teoria.<\/p>\n
Tamb\u00e9m vale a pena notar que a falsifica\u00e7\u00e3o de IP n\u00e3o<\/i> \u00e9 uma pr\u00e1tica ilegal, e \u00e9 por isso que ela prevalece. H\u00e1 muitos usos leg\u00edtimos para a falsifica\u00e7\u00e3o de PI que discutiremos em outra se\u00e7\u00e3o. Como tal, enquanto a falsifica\u00e7\u00e3o de IP em si mesma leva um hacker a entrar pela porta, ela pode n\u00e3o ser a \u00fanica t\u00e9cnica usada para quebrar a confian\u00e7a.<\/p>\n
Por que o seu IP \u00e9 um alvo para a falsifica\u00e7\u00e3o<\/h2>\n
Todas as considera\u00e7\u00f5es morais e \u00e9ticas \u00e0 parte, a identidade de usu\u00e1rio de outra pessoa tem imenso valor e utilidade. Afinal, h\u00e1 muitos atores maus que, dada a oportunidade, usariam de bom grado a identidade de outra pessoa para obter algo, sem qualquer repercuss\u00e3o moral.<\/p>\n
A falsifica\u00e7\u00e3o de endere\u00e7os IP \u00e9 uma persegui\u00e7\u00e3o de alto valor para muitos usu\u00e1rios maliciosos. O ato da falsifica\u00e7\u00e3o de IP n\u00e3o tem muito valor, mas as oportunidades que voc\u00ea vai ganhar podem ser o jackpot.<\/p>\n
Por exemplo, atrav\u00e9s da falsifica\u00e7\u00e3o de IP, um usu\u00e1rio pode se fazer passar por um endere\u00e7o mais confi\u00e1vel para obter informa\u00e7\u00f5es pessoais (e mais) de um usu\u00e1rio insuspeito.<\/p>\n
Isto tamb\u00e9m pode ter um efeito de arrastamento sobre outros usu\u00e1rios. Um hacker n\u00e3o precisa falsificar o endere\u00e7o IP de cada alvo – \u00e9 preciso apenas um para quebrar as defesas. Usando essas credenciais n\u00e3o conquistadas, o mesmo hacker tamb\u00e9m pode ganhar a confian\u00e7a de outros membros da rede e conseguir que eles compartilhem informa\u00e7\u00f5es pessoais.<\/p>\n
Como tal, o IP em si n\u00e3o \u00e9 valioso. Entretanto, dependendo do que for feito com o IP falsificado, o pagamento pode ser enorme, e o potencial de acesso a outros sistemas atrav\u00e9s do IP falsificado tamb\u00e9m n\u00e3o \u00e9 insignificante.<\/p>\n
3 Tipos mais comuns de ataques de falsifica\u00e7\u00e3o de IP<\/h2>\n
A falsifica\u00e7\u00e3o de IP se presta bem a certos tipos de ataques. Vejamos agora tr\u00eas deles.<\/p>\n
1. Mascarando Botnets<\/h3>\n
Botnet \u00e9 uma rede de computadores que um atacante controla a partir de uma \u00fanica fonte. Cada um desses computadores executa um bot dedicado, que realiza os ataques em nome do mau ator. Voc\u00ea ver\u00e1 que a habilidade de mascarar botnets n\u00e3o seria poss\u00edvel sem a falsifica\u00e7\u00e3o do IP.<\/p>\n
Em circunst\u00e2ncias normais, os hackers ganham controle atrav\u00e9s de infec\u00e7\u00f5es, tais como malware<\/a>. O uso de botnets pode ajudar um usu\u00e1rio malicioso a realizar ataques de spam, ataques DDoS, golpes publicit\u00e1rios, ataques de phishing, e muito mais. \u00c9 uma maneira vers\u00e1til de conduzir ataques direcionados contra outros usu\u00e1rios.<\/p>\n
Parte da raz\u00e3o para isso \u00e9 a falsifica\u00e7\u00e3o de IP. Cada bot na rede frequentemente tem um IP falsificado, fazendo com que o ator malicioso seja desafiado a rastrear.<\/p>\n
O principal benef\u00edcio da falsifica\u00e7\u00e3o de IPs aqui \u00e9 evitar a aplica\u00e7\u00e3o da lei. No entanto, este n\u00e3o \u00e9 o \u00fanico.<\/p>\n
Por exemplo, o uso de botnets com IPs falsificados tamb\u00e9m impede o alvo de notificar os propriet\u00e1rios sobre o problema. Para come\u00e7ar, isto pode prolongar o ataque e deixar o hacker “pivotar” o foco para outras marcas. Em teoria, isto poderia resultar em um ataque em uma base infinita para maximizar o pagamento.<\/p>\n
2. Ataques de Nega\u00e7\u00e3o Direta de Servi\u00e7o (DDoS – Direct Denial of Service)<\/h3>\n
Se um site sair do ar devido ao excesso e sobrecarga de tr\u00e1fego malicioso no servidor, este \u00e9 um ataque DDoS. Ele pode ser devastador para qualquer propriet\u00e1rio de site, e h\u00e1 muitas maneiras de mitigar os efeitos<\/a>.<\/p>\n
Isto cobre v\u00e1rios ataques de falsifica\u00e7\u00e3o relacionados e t\u00e9cnicas que se combinam para criar o ataque completo.<\/p>\n
Falsifica\u00e7\u00e3o de DNS<\/h4>\n
Primeiro, um usu\u00e1rio malicioso procurar\u00e1 a falsifica\u00e7\u00e3o de DNS para se infiltrar em uma rede. Um ator malicioso usar\u00e1 a falsifica\u00e7\u00e3o para alterar o nome do dom\u00ednio associado com o DNS<\/a> para outro endere\u00e7o IP.<\/p>\n
Daqui, voc\u00ea pode realizar qualquer n\u00famero de ataques adicionais, mas a infec\u00e7\u00e3o por malware \u00e9 uma escolha popular. Como essencialmente desvia o tr\u00e1fego de fontes leg\u00edtimas para fontes maliciosas sem detec\u00e7\u00e3o, \u00e9 f\u00e1cil infectar outro computador. A partir da\u00ed, mais m\u00e1quinas sucumbir\u00e3o \u00e0 infec\u00e7\u00e3o e criar\u00e3o o botnet para realizar o ataque DDoS de forma eficiente.<\/p>\n
Falsifica\u00e7\u00e3o de endere\u00e7o IP<\/h4>\n
Ap\u00f3s a falsifica\u00e7\u00e3o de DNS, um atacante realizar\u00e1 outra falsifica\u00e7\u00e3o de endere\u00e7o IP para ajudar a ofuscar os bots individuais dentro da rede. Isto frequentemente segue um processo de randomiza\u00e7\u00e3o perp\u00e9tua. Como tal, o endere\u00e7o IP nunca permanece o mesmo por muito tempo, o que torna praticamente imposs\u00edvel de detectar e rastrear.<\/p>\n
Este ataque de n\u00edvel de rede \u00e9 imposs\u00edvel de ser detectado por um usu\u00e1rio final (e atrapalha muitos especialistas do lado do servidor tamb\u00e9m). \u00c9 uma maneira eficaz de realizar ataques maliciosos sem consequ\u00eancias.<\/p>\n
Falsifica\u00e7\u00e3o de ARP<\/h4>\n
O falsifica\u00e7\u00e3o de ARP (ARP spoofing) \u00e9 outra forma de conduzir ataques DDoS. \u00c9 muito mais complexo do que o m\u00e9todo da for\u00e7a bruta de mascarar botnets e a falsifica\u00e7\u00e3o de IP, ainda assim ele incorpora ambos para realizar um ataque.<\/p>\n
A id\u00e9ia \u00e9 mirar uma rede de \u00e1rea local (LAN – Local Area Network) e enviar atrav\u00e9s de pacotes de dados ARP maliciosos para alterar os endere\u00e7os IP definidos em uma tabela MAC. \u00c9 uma maneira f\u00e1cil para um atacante obter acesso a um grande n\u00famero de computadores ao mesmo tempo.<\/p>\n
O objetivo do falsifica\u00e7\u00e3o de ARP \u00e9 canalizar todo o tr\u00e1fego da rede atrav\u00e9s de um computador infectado, e depois manipul\u00e1-lo a partir da\u00ed. Isto \u00e9 simples de fazer atrav\u00e9s do computador do atacante e permite que ele escolha entre um ataque DDoS ou um ataque MITM.<\/p>\n
3. Ataques MITM<\/h3>\n
Ataques de Machine-in-the-Middle (MITM) s\u00e3o particularmente complexos, altamente eficazes e totalmente catastr\u00f3ficos para uma rede.<\/p>\n
Estes ataques s\u00e3o uma maneira de interceptar os dados do seu computador antes que eles cheguem ao servidor ao qual voc\u00ea se conecta (digamos, com o seu navegador da web<\/a>). Isto permite que o atacante interaja com voc\u00ea usando sites falsos para roubar suas informa\u00e7\u00f5es. Em alguns casos, o atacante \u00e9 um terceiro que intercepta a transmiss\u00e3o entre duas fontes leg\u00edtimas, o que aumenta a efic\u00e1cia do ataque.<\/p>\n
\u00c9 claro que os ataques MITM dependem da falsifica\u00e7\u00e3o de IP, pois \u00e9 necess\u00e1rio que haja uma quebra de confian\u00e7a sem que o usu\u00e1rio esteja ciente. Al\u00e9m disso, h\u00e1 um maior valor em realizar um ataque MITM comparado a outros porque um hacker pode continuar coletando dados a longo prazo e vend\u00ea-los para outros.<\/p>\n
Casos reais de ataques MITM<\/a> mostram como a falsifica\u00e7\u00e3o de IP entra em jogo. Se voc\u00ea falsificar um endere\u00e7o IP e ganhar acesso a contas de comunica\u00e7\u00e3o pessoal, isso permite que voc\u00ea rastreie qualquer aspecto dessa comunica\u00e7\u00e3o. A partir da\u00ed, voc\u00ea pode escolher a informa\u00e7\u00e3o, encaminhar usu\u00e1rios para sites falsos e muito mais.<\/p>\n
No geral, um ataque MITM \u00e9 uma maneira perigosa e altamente lucrativa de obter informa\u00e7\u00f5es do usu\u00e1rio, e a falsifica\u00e7\u00e3o de IP \u00e9 uma parte central disso.<\/p>\n
Por que a falsifica\u00e7\u00e3o de IP \u00e9 perigosa para o seu site e para os usu\u00e1rios<\/h2>\n
Como a falsifica\u00e7\u00e3o de IP \u00e9 algo que acontece em um n\u00edvel baixo de rede, \u00e9 um perigo para quase todos os usu\u00e1rios na internet.<\/p>\n
Phishing e spoofing<\/a> andam de m\u00e3os dadas. E um bom ataque de falsifica\u00e7\u00e3o n\u00e3o se apresentar\u00e1 como uma tentativa de phishing. Isto significa que os usu\u00e1rios n\u00e3o ter\u00e3o nenhuma indica\u00e7\u00e3o para serem cautelosos e poder\u00e3o entregar informa\u00e7\u00f5es sens\u00edveis como resultado.<\/p>\n
Elementos cr\u00edticos para os neg\u00f3cios ser\u00e3o um alvo principal, tais como sistemas de seguran\u00e7a e firewalls<\/a>. Esta \u00e9 a raz\u00e3o pela qual a seguran\u00e7a do site<\/a> \u00e9 a preocupa\u00e7\u00e3o n\u00famero um para muitos. Voc\u00ea n\u00e3o apenas precisa implementar funcionalidades suficientes para mitigar um ataque, mas tamb\u00e9m precisa garantir que os usu\u00e1rios de sua rede estejam vigilantes e usem boas pr\u00e1ticas de seguran\u00e7a<\/a>.<\/p>\n
![\"O](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/wordfence.png\")
O plugin Wordfence \u00e9 uma solu\u00e7\u00e3o de seguran\u00e7a s\u00f3lida para ajudar a proteger voc\u00ea contra falsifica\u00e7\u00e3o de IP.<\/figcaption><\/figure>\n \u00a0<\/p>\n
No entanto, um aspecto da falsifica\u00e7\u00e3o de IP faz com que a conten\u00e7\u00e3o seja menos simples: A t\u00e9cnica tem muitos casos de uso leg\u00edtimo atrav\u00e9s da web.<\/p>\n
Usos leg\u00edtimos para a falsifica\u00e7\u00e3o de IP<\/h2>\n
Como a falsifica\u00e7\u00e3o de IP tem muitos casos de uso n\u00e3o malicioso, h\u00e1 pouco que voc\u00ea pode fazer para impedir que outros o usem.<\/p>\n
Por exemplo, milhares de “hackers \u00e9ticos” procuram testar sistemas para empresas. Este tipo de hacking \u00e9tico \u00e9 uma viola\u00e7\u00e3o sancionada do sistema, projetada para testar os recursos e a for\u00e7a da seguran\u00e7a.<\/p>\n
Isto seguir\u00e1 o mesmo processo que o hacking malicioso. O usu\u00e1rio realizar\u00e1 o trabalho de reconhecimento do alvo, ganhar\u00e1 e manter\u00e1 o acesso ao sistema e ofuscar\u00e1 sua penetra\u00e7\u00e3o.<\/p>\n
Voc\u00ea ver\u00e1 com frequ\u00eancia que hackers anti\u00e9ticos se convertem a tipos \u00e9ticos e encontram emprego em empresas que eles podem ter considerado um alvo no passado. Voc\u00ea pode at\u00e9 mesmo encontrar exames e certifica\u00e7\u00f5es oficiais<\/a> para ajud\u00e1-lo a obter as credenciais adequadas.<\/p>\n
Algumas empresas tamb\u00e9m usar\u00e3o falsifica\u00e7\u00e3o de IP em exerc\u00edcios de simula\u00e7\u00e3o n\u00e3o relacionados a quebras de sistema. Por exemplo, e-mails em massa s\u00e3o um bom caso de uso para milhares de endere\u00e7os IP, e todos eles precisar\u00e3o ser criados atrav\u00e9s da falsifica\u00e7\u00e3o (leg\u00edtimo).<\/p>\n
Os testes de registro de usu\u00e1rios usam a falsifica\u00e7\u00e3o de IP para simular os resultados tamb\u00e9m. Qualquer situa\u00e7\u00e3o em que voc\u00ea precise simular muitos usu\u00e1rios \u00e9 um caso ideal para a falsifica\u00e7\u00e3o \u00e9tica de IP.<\/p>\n
Por que voc\u00ea n\u00e3o pode evitar a falsifica\u00e7\u00e3o de IP<\/h2>\n
Porque a falsifica\u00e7\u00e3o \u00e9 t\u00e3o dif\u00edcil de se detectar, e porque a natureza do m\u00e9todo \u00e9 esconder uma verdadeira identidade, h\u00e1 pouco que voc\u00ea pode fazer para evitar que isso aconte\u00e7a. No entanto, voc\u00ea pode minimizar o risco e negar o impacto.<\/p>\n
\u00c9 importante notar que um usu\u00e1rio final (ou seja, a m\u00e1quina do lado do cliente) n\u00e3o pode parar de falsificar de nenhuma maneira. \u00c9 o trabalho da equipe do lado do servidor evitar a falsifica\u00e7\u00e3o de IP da melhor forma poss\u00edvel.<\/p>\n
Existem algumas maneiras de adicionar bloqueios de estrada entre um hacker e um alvo potencial. Algumas das maneiras mencionadas at\u00e9 agora incluem:<\/p>\n
- \n
- Usando um protocolo mais seguro, como o IPv6<\/li>\n
- Garantir que a base de usu\u00e1rios implemente uma boa seguran\u00e7a individual<\/a> ao usar o site e a rede<\/li>\n
- Implementando SSL e SSH<\/a> em seu site<\/li>\n<\/ul>\n
No entanto, h\u00e1 mais que voc\u00ea pode fazer. Por exemplo, voc\u00ea pode usar um firewall de aplica\u00e7\u00e3o web dedicado (WAF) como o Sucuri<\/a>, que ajudar\u00e1 a “construir muros altos” ao redor do seu site.<\/p>\n
![\"A](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/sucuri.png\")
A logo da Sucuri.<\/figcaption><\/figure>\n Voc\u00ea tamb\u00e9m pode implementar uma infra-estrutura p\u00fablica cr\u00edtica (PKI) para ajudar a autenticar usu\u00e1rios e dados associados. Isto depende de uma combina\u00e7\u00e3o de chaves p\u00fablicas e privadas para criptografar e decodificar dados. Por causa da natureza da criptografia, \u00e9 muito mais desafiador para os hackers violarem a lei.<\/p>\n
- Implementando SSL e SSH<\/a> em seu site<\/li>\n<\/ul>\n
- Falsifica\u00e7\u00e3o do servidor de nomes de dom\u00ednio (DNS)<\/a>: Isto modificar\u00e1 o IP de origem do DNS para redirecionar um nome de dom\u00ednio para um IP diferente.<\/li>\n