Técnicas de detección de (Ip Spoofing)

¿Qué es el spoofing?

El spoofing es el uso de herramientas y tecnicas de suplantación de identidad generalmente.

Se pueden clasificar sus ataques.

Entre ellos el IP spoofing, aunque también existe el ARP spoofing, DNS spoofing, Web spoofing o email spoofing que se podría describir en otros artículos. 

En esta parte hablaremos un poco de IP Spoofing, pero todos ellos son técnicas suplantar identidades, aquí como estamos del otro lado veremos un poco  de técnicas de detección.

Técnicas de detección de Ip Spoofing

– Direct TTL Probes: enviando paquetes al host solicitado dará como resultado una respuesta, si el TTL en la respuesta no es el mismo que el paquete que se está verificando, es un paquete spoofeado. Esta técnica es exitosa cuando el atacante está en una subred diferente

Más información : http://seclab.cs.ucdavis.edu/papers/DetectingSpoofed-DISCEX.pdf página 4

– IP Identification Number- Enviar un paquete de prueba al host solicitado resultará en una respuesta, si el número de IPID en la respuesta se encuentra en el valor cercano al chequeo del paquete, es un paquete spoofeado Esta técnica es exitosa incluso si el atacante está en la misma subred

Para profundizar esta técnica: https://pdfs.semanticscholar.org/8163/52d2897ae37b845a3be5d4054f6088c4e3a4.pdf

– TCP Flow Control Method- Si el atacante está enviando paquetes falsificados, no tendrá respuesta de paquetes ACK del objetivo y no responderá con el paquete SYN + ACK. Si el atacante no deja de enviar paquetes después de que se agote el tamaño de la ventana inicial, lo más probable es que los paquetes hayan sido spoofeados.

Para profundizar este método: https://www.brianstorti.com/tcp-flow-control/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *