Que es "IP spoofing",

Por spoofing se conoce a la creacin de tramas TCP/IP utilizando una direccin

IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde
su equipo, un pirata simula la identidad de otra mquina de la red para
conseguir acceso a recursos de un tercer sistema que ha establecido algn tipo
de confianza basada en el nombre o la direccin IP del host suplantado. Y como
los anillos de confianza basados en estas caractersticas tan fcilmente
falsificables son an demasiado abundantes (no tenemos ms que pensar en
los comandos r-, los accesos NFS, o la proteccin de servicios de red mediante
TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial,
pero factible contra cualquier tipo de organizacin.
Como hemos visto, en el spoofing entran en juego tres mquinas: un atacante,
un atacado, y un sistema suplantado que tiene cierta relacin con el atacado;
para que el pirata pueda conseguir su objetivo necesita por un lado establecer
una comunicacin falseada con su objetivo, y por otro evitar que el equipo
suplantado interfiera en el ataque
Probablemente esto ltimo no le sea muy difcil de conseguir: a pesar de que
existen mltiples formas de dejar fuera de juego al sistema suplantado - al
menos a los ojos del atacado - que no son triviales (modificar rutas de red,
ubicar un filtrado de paquetes entre ambos sistemas...), lo ms fcil en la
mayora de ocasiones es simplemente lanzar una negacin de servicio contra
el sistema en cuestin.
Aunque en el punto siguiente hablaremos con ms detalle de estos ataques, no
suele ser difcil de tumbar, o al menos bloquear parcialmente, un sistema
medio; si a pesar de todo el atacante no lo consigue, simplemente puede
esperar a que desconecten de la red a la mquina a la que desea suplantar
(por ejemplo, por cuestiones de puro mantenimiento).
El otro punto importante del ataque, la comunicacin falseada entre dos
equipos, no es tan inmediato como el anterior y es donde reside la principal
dificultad del spoofing.
En un escenario tpico del ataque, un pirata enva una trama SYN a su objetivo
indicando como direccin origen la de esa tercera mquina que est fuera de
servicio y que mantiene algn tipo de relacin de confianza con la atacada. El
host objetivo responde con un SYN+ACK a la tercera mquina, que
simplemente lo ignorar por estar fuera de servicio (si no lo hiciera, la conexin
se reseteara y el ataque no sera posible), y el atacante enviar ahora una
trama ACK a su objetivo, tambin con la direccin origen de la tercera
mquina.
Para que la conexin llegue a establecerse, esta ltima trama deber enviarse
con el nmero de secuencia adecuado; el pirata ha de predecir correctamente
este nmero: si no lo hace, la trama ser descartada), y si lo consigue la
conexin se establecer y podr comenzar a enviar datos a su objetivo,

generalmente para tratar de insertar una puerta trasera que permita una
conexin normal entre las dos mquinas.
Podemos comprobar que el spoofing no es inmediato; de entrada, el atacante
ha de hacerse una idea de cmo son generados e incrementados los nmeros
de secuencia TCP, y una vez que lo sepa ha de conseguir engaar a su objetivo
utilizando estos nmeros para establecer la comunicacin; cuanto ms robusta
sea esta generacin por parte del objetivo, ms difcil lo tendr el pirata para
realizar el ataque con xito.
Adems, es necesario recordar que el spoofing es un ataque ciego: el atacante
no ve en ningn momento las respuestas que emite su objetivo, ya que estas
van dirigidas a la mquina que previamente ha sido deshabilitada, por lo que
debe presuponer qu est sucediendo en cada momento y responder de forma
adecuada en base a esas suposiciones.
Sera imposible tratar con el detenimiento que merecen todos los detalles
relativos al spoofing por lo que para obtener informacin adicional es necesario
dirigirse a excelentes artculos que estudian todos los pormenores del ataque,
como o ; de la misma forma, para conocer con detalle el funcionamiento del
protocolo TCP/IP y sus problemas podemos consultar , , y .
Para evitar ataques de spoofing exitosos contra nuestros sistemas podemos
tomar diferentes medidas preventivas; en primer lugar, parece evidente que
una gran ayuda es reforzar la secuencia de prediccin de nmeros de
secuencia TCP: un esquema de generacin robusto puede ser el basado en ,
que la mayora de Unix son capaces de implantar (aunque muchos de ellos no
lo hagan por defecto). Otra medida sencilla es eliminar las relaciones de
confianza basadas en la direccin IP o el nombre de las mquinas,
sustituyndolas por relaciones basadas en claves criptogrficas; el cifrado y el
filtrado de las conexiones que pueden aceptar nuestras mquinas tambin son
unas medidas de seguridad importantes de cara a evitar el spoofing.
ARP Spoofing
El ataque denominado ARP Spoofing hace referencia a la construccin de
tramas de solicitud y respuesta ARP falseadas, de forma que en una red local
se puede forzar a una determinada mquina a que enve los paquetes a un
host atacante en lugar de hacerlo a su destino legtimo.
La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde
negaciones de servicio hasta interceptacin de datos, incluyendo algunos Man
in the Middle contra ciertos protocolos cifrados. En podemos obtener ms
informacin acerca de este ataque, as como cdigo fuente para enviar tramas
falseadas y comprobar los efectos del ARP Spoofing en nuestra red.
DNS Spoofing
Este ataque hace referencia al falseamiento de una direccin IP ante una
consulta de resolucin de nombre (esto es, resolver con una direccin falsa un
cierto nombre DNS), o viceversa (resolver con un nombre falso una cierta

direccin IP). Esto se puede conseguir de diferentes formas, desde modificando

las entradas del servidor encargado de resolver una cierta peticin para falsear
las relaciones direccin-nombre, hasta comprometiendo un servidor que infecte
la cach de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a
un servidor DNS real, un atacante puede enviar datos falseados como
respuesta a una peticin de su vctima sin ms que averiguar los nmeros de
secuencia correctos.
Web Spoofing
Este ataque permite a un pirata visualizar y modificar cualquier pgina web
que su vctima solicite a travs de un navegador, incluyendo las conexiones
seguras va SSL.
Para ello, mediante cdigo malicioso un atacante crea una ventana del
navegador correspondiente, de apariencia inofensiva, en la mquina de su
vctima; a partir de ah, enruta todas las pginas dirigidas al equipo atacado incluyendo las cargadas en nuevas ventanas del navegador - a travs de su
propia mquina, donde son modificadas para que cualquier evento generado
por el cliente sea registrado (esto implica registrar cualquier dato introducido
en un formulario, cualquier click en un enlace, etc.).
e - mail spoofing
Suplantacin de la direccin de correo electrnico de otras personas o
entidades. Esta tcnica es usada con asiduidad para el envo de mensajes de
correo electrnico hoaxcomo suplemento perfecto para el uso de suplantacin
de identidad y para SPAM, es tan sencilla como el uso de un
servidor SMTP configurado para tal fin. Para protegerse se debera comprobar
la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad
que indica en el mensaje) y la direccin del servidor SMTP utilizado. Las
medidas recomendadas para prevenir estos ataques son crear registros
SPF y firmas digitales DKIM

Que es una direccin IP

Las direcciones IP (IP es un acrnimo para Internet Protocol) son un nmero
nico e irrepetible con el cual se identifica una cmputadora conectada a una
red que corre el protocolo IP.
Una direccin IP (o simplemente IP como a veces se les refiere) es un conjunto
de cuatro numeros del 0 al 255 separados por puntos. Por ejemplo,
uservers.net tiene la direccin IP siguiente:
200.36.127.40
En realidad una direccin IP es una forma ms sencilla de comprender nmeros
muy grandes, la direccin 200.36.127.40 es una forma ms corta de escribir el
numero 3357835048. Esto se logra traduciendo el numero en cuatro tripletes.

Una puerta de enlace es un sistema de la red que nos permite, a travs de si

mismo, acceder a otra red, o dicho de otra manera, sirve de enlace entre dos
redes
El caso ms claro es un router, un router no es un ordenador, no es un servidor,
no es una cafetera es un router y una de sus principales funciones
es enrutar por lo que se convierte en la puerta de enlace de todo dispositivo
que quede conectado a l.
Seguimos con la puerta de enlace Aclaro por si acaso que una puerta de
enlace es un dispositivo y no es un servicio, repito, una puerta de enlace puede
ser un router, un servidor o un portatil, pero no es un servicio es un dispositivo
de la red que nos permite acceder a otra red y esto lo tengo que repetir porque
una puerta de enlace puede requerir de servicios para cumplir su funcin de
puerta de enlace, pero cada sistema utilizar una serie de servicios que se
llamarn como quieran llamarse.
Con estos datos podemos deducir las siguientes direcciones Ip:
ROUTER
Ip: 192.168.1.1
Mscara de Subred. 255.255.255.0
Puerta de enlace:
DNS1 y DNS2 los proporcionan los ISP
SERVER Tarjeta de red WAN
Ip: 192.168.1.100
Mscara de Subred: 255.255.255.0
Puerta de enlace: 192.168.1.1
DNS 1: 192.168.1.1
SERVER Tarjeta de red LAN
Ip: 192.168.10.100
Mscara de Subred: 255.255.255.0
Puerta de enlace:
DNS 1: 192.168.10.100 (En el supuesto que sea controlador de dominio y tenga
el rol de DNS instalado)
Y ahora podemos seguir analizando ms cosas Si nos fijamos tanto la tarjeta
de red del servidor como el propio router no tienen especificada una puerta de
enlace Porqu? muy sencillo.
El router (Recuerdo que era Mdem/Router) no necesita una puerta de enlace
porque ya est conectado directamente a Internet.
Al server le ocurre lo mismo, la tarjeta de red LAN no requiere de ninguna Ip
configurada en el campo Puerta de Enlace porque la segunda tarjeta de red del
servidor que es la que se utiliza para comunicar con otra red ya esta
configurada y preparada para acceder a otra red.
Entonces Que direcciones Ip tendran los clientes de la red? vamos a verlo.

Ip: 192.168.10.X
Mscara de Subred: 255.255.255.0
Puerta de enlace: 192.168.10.100
DNS 1: 192.168.10.100
Esto es una configuracin que funcionar en la mayora de casos pero antes de
cerrar el artculo quiero explicar el porque de la Ip 192.168.10.100 tanto en la
Puerta de enlace como en el DNS.

Mascara de red
mediante la mscara de red un sistema (ordenador, puerta de enlace, router, etc...)
podr saber si debe enviar un paquete dentro o fuera de la subred en la que est
conectado. Por ejemplo, si el router tiene la direccin IP 192.168.1.1 y mscara de red
255.255.255.0, entiende que todo lo que se enva a una direccin IP con formato
192.168.1.X, se enva hacia la red local, mientras que direcciones con distinto formato
de direcciones IP sern buscadas hacia afuera (internet, otra red local mayor, etc...).

8bit x 4 octetos = 32 bit. (11111111.11111111.11111111.11111111 =

255.255.255.255)
8bit x 3 octetos = 24 bit. (11111111.11111111.11111111.00000000 =
255.255.255.0)
8bit x 2 octetos = 16 bit. (11111111.11111111.00000000.00000000 =
255.255.0.0)
8bit x 1 octetos = 8 bit. (11111111.00000000.00000000.00000000 =
255.0.0.0)