Quando os velhos hackers começaram-se a sentir vigiados pelos logs criados pelos servidores e pelas capturas de datagramas de pacotes IP, eles passaram a fazer uso de uma técnica que lhes permitisse, ao mesmo tempo, mascarar o endereço IP da interface e continuar a navegar pela Internet, ou pela rede interna. Foi assim que nasceu o spoofinf (de spoof, enganar).
O spoofing consiste na criação de pacotes TCP/IP mediante um endereço de IP falso, criado com a edição dos cabeçalhos ou datagramas de IP. Num ataque do tipo spoofing, entram em jogo três computadores: um atacante, um alvo, e uma máquina ou rede suplantada pelo atacante, a qual tem a sua identidade assumida por ele. O sistema com a identidade subtraída costuma ter relação com o sistema atacado, seja para causar mais confusão no momento do ataque (“Um sistema amigo está-nos a atacar”), seja para de facto, fazer-se passar por outra rede ou pessoa, como costumam fazer os crackers.
A maioria dos ataques que utilizam sistemas de spoofing emprega o padrão chamado de “cebola”. Uma cebola possui diversas camadas: assim que você descasca a casca, encontra um invólucro exactamente igual ao anterior, e assim sucessivamente até chegar ao núcleo. Da mesma maneira, um ataque de spoofing feito por hackers experientes utiliza, não raramente, mais de uma modalidade de ataque coordenado ou, mais exactamente, um ataque dentro do outro. Isso posto, vajemos como pode ele ser feito.
Sempre que um hacker tenta se apoderar do endereço de uma rede ou host, ele não pode, simplesmente, apossar-se do endereço actual. Num segmento de comunicação, não importa o seu tamanho, duas interfaces não podem ter o mesmo endereço, sob pena de que uma delas não poderá realizar a comunicação. A acção conjunta normalmente passa por:
- Redireccionar a ligação verdadeira para um servidor falso ou um servidor DNS “envenenado” (Poisoned DNS);
- Derrubar o sistema original com um ataque de negação de serviço e assumir a sua identidade no prazo de recuperação.
O primeiro caso, que ganhou o status de arte no mundo das invasões em meados de 2006, passa pela necessidade de realizar um ataque do estilo ping flood no sistema de cache de um servidor DNS ligado ao alvo.
O segundo caso, muito mais comum, ocorre quando um atacante derruba um servidor com um ataque ping flood, que pode ser realizado com pacotes TCP ou SYN.
Além de spoofing de IP e de DNS, são muito conhecidos os spoofings de MAC Adress e similares em que gateways ou routers são enganados por enxurradas de pacotes falsos, confundindo o dispositivo e permitindo a livre passagem de um atacante.
Sem comentários:
Enviar um comentário