Security First

Cos’è e come funziona l’IP spoofing

6 minuti lettura
Cos'è e come funziona l'IP spoofing

I meccanismi che si nascondono alle spalle di un sistema informatico sono molteplici, e spesso nascosti all’utente finale: dietro ad ogni computer e ad ogni server c’è un indirizzo IP, fondamentale per navigare sul web, che identifica in modo univoco un computer all’interno di una rete.

Tra gli attacchi più amati dai cybercriminali figura sicuramente l’IP spoofing. Di cosa si tratta? In poche parole, è una tecnica tramite cui i malintenzionati, utilizzando particolari malware, potrebbero riuscire ad impersonare l’indirizzo IP e compiere determinate operazioni. L’IP spoofing può presentarsi in varie forme a seconda di quale protocollo di identificazione prendano di mira.

Nell’articolo parleremo dei modi usati per condurre questi attacchi e come proteggersi; in aggiunta alle ragioni per cui questa pratica potrebbe anche essere utilizzata legittimamente, specie per l’amministrazione di reti aziendali oppure risoluzioni di problemi derivanti dal malfunzionamento di alcuni pc.

In questo modo, ci si potrà rendere conto di quanto questi inganni siano diffusi in rete e dell’importanza di adottare buone pratiche di precauzione durante l’utilizzo di pc, specie al lavoro, in modo da accrescere la propria consapevolezza sull’importanza della cybersecurity.

Che cos’è l’IP spoofing e qual è il suo scopo?

Quello che materialmente fa l’IP spoofing una volta che viene eseguito è far credere ai sistemi di controllo online che certi dati inviati e scaricati in rete provengano da una fonte diversa rispetto a quello che realmente lo mette in pratica.

In sostanza, all’interno dei protocolli TCP/IP e UDP/IP i pacchetti di dati inviati hanno un mittente falso, permettendo all’attaccante di accedere ad un sistema autorizzato immettendo nel flusso di dati pacchetti che hanno diversi scopi.

Solitamente, per quanto riguarda gli attacchi di IP spoofing da parte di malintenzionati, questa immissione di dati ha lo scopo di eseguire attacchi DoS o DDoS su un computer o una rete di computer. In questa circostanza, infatti, gli hacker utilizzano indirizzi IP per sopraffare i server bloccandone il traffico. 

Altri attacchi che possono essere utilizzati con IP spoofing sono:

  • Spoofing di indirizzo IP: ovvero il classico attacco che ha il compito di causare i cosiddetti denial of service (DoS);
  • Spoofing di DNS: che reindirizza un nome di un dominio su un diverso IP;
  • Spoofing dell’Address Resolution Protocol (ARP, il sistema di risoluzione degli indirizzi): un attacco molto complesso e che solitamente viene portato avanti per colpire grossi gruppi di sistemi informatici.
  • Man In The Middle (MITM): per intercettare la comunicazione tra due computer, alterare i pacchetti e trasmetterli all’insaputa del mittente o del destinatario. 

Esempi di IP spoofing

Per fare un esempio pratico del funzionamento dell’IP spoofing ci si può riferire facilmente agli attacchi DoS, caso emblematico e di scuola molto diffuso. Chi ha intenzione di portare avanti questo attacco, predispone tutta una serie di bot con IP falsificati, che inviano ad un sito bersaglio tutti i dati necessari a mandarlo offline per sovraccarico: grazie allo spoofing, l’attacco è impossibile o difficilissimo da rilevare fino a quando non è tardi e il sito o la rete di pc sono già andati offline; inoltre, è molto difficile anche dopo che l’attacco si è verificato risalire a chi materialmente ha posto in essere il collegamento per via della difficoltà a risalire all’indirizzo effettivo.

Stesso ragionamento vale anche per gli attacchi cosiddetti MITM, che riescono a illudere gli endpoint; ne deriva facilmente che l’IP spoofing è molto difficile da prevedere e contrastare efficacemente; per questo motivo è comunque importante prevedere tutti i sistemi di sicurezza possibili e immaginabili, tale da poter se non altro rendere la vita più difficile ai malintenzionati che decidano di porre in essere azioni delittuose una vita e un attacco più semplice di quello che sarebbe altrimenti in assenza di sistemi di salvaguardia.

Come avviene tecnicamente l’IP Spoofing?

Quando un computer è connesso ad una rete internet, ma anche locale per quanto riguarda la comunicazione che avviene su una LAN, utilizza un indirizzo IP da cui invia pacchetti di dati che viaggiano individualmente per tutta la rete, fino a raggiungere il punto di destinazione dove vengono riassemblati e presentati concretamente e interamente a chi li ha richiesti o li visualizza. Per essere certi che a quei dati si possa risalire facilmente, gli stessi possiedono al loro interno sia il punto di partenza che di arrivo (gli indirizzi IP, appunto). Questo sistema che dovrebbe servire a far arrivare i dati a destinazione senza problemi il principale punto dove gli hacker o i lamer attaccano.

Quando viene eseguito un IP Spoofing, significa che questo riesce a utilizzare l’IP all’origine modificandone alcune dati, riuscendo a camuffarsi, passando senza alcun problema per la rete attaccata senza che il firewall o gli altri strumenti di sicurezza siano in grado di riconoscerlo ed estrometterlo dal sistema. La grande vulnerabilità di questo protocollo è studiata da anni e molti sono i correttivi che su di esso si è cercato di imporre. Da ultimo, ad esempio, il protocollo IPv6 che contiene al suo interno passaggi molto complessi di autentificazione e crittografia o altri programmi come il secure shell, i quali in accoppiata dovrebbero limitare il problema, anche se si limitano solamente a rendere la vita più difficile agli attaccanti, senza eliminare del tutto il problema, cosa ad oggi ancora sostanzialmente impossibile.

La sostanziale immobilità dei grossi gruppi informatici e dell’intero settore tech nel limitare il fenomeno dannoso dell’IP spoofing sta nel fatto che, a differenza di quanto possa sembrare, quella dell’IP spoofing non è una pratica solo illegale perché, infatti, ha diversi scopi e funzioni anche nella legalità. Per questo motivo è spesso molto utilizzata da amministratori di rete per testare la sicurezza di un intero sistema ovvero riuscire a fixare bug informatici o altri problemi relativi a connessioni o comunicazioni fra pc.

Perché l’IP spoofing è pericoloso per la rete aziendale?

A prescindere che l’attacco sia portato a livello locale o diffuso su Internet, il pericolo e le conseguenze dell’IP spoofing in generale sono le medesime: ovvero cercare di carpire la fiducia dell’utente e portarlo a condividere dati confidenziali ovvero compiere azioni indesiderate al fine di fare ottenere un vantaggio agli attaccanti. In generale, infatti, lo scopo più diffuso dell’IP spoofing è quello di diffondere il phishing in rete in maniera ottimale: gli utenti non potranno infatti essere salvati dalla loro stessa attenzione, ovvero avvertiti da un sistema di sicurezza come firewall o antivirus, perché il cambio di IP non è facile da rilevare, con il risultato che potrebbero dunque consegnare informazioni che altrimenti avrebbero tenuto per sé.

I motivi per cui l’IP spoofing è difficile da mascherare risiedono soprattutto nella strutturazione degli indirizzi IP e di come i computer e i sistemi li usano praticamente per ogni tipo di comunicazione. L’unico modo infatti per contrastare lo spoofing è cercare di limitare i rischi predisponendo semplicemente comportamenti responsabili da parte degli operatori – per questo motivo è bene cominciare a sensibilizzare le persone sull’importanza della cyber sicurezza – e ricorrere a protocolli di indirizzo IP sempre più aggiornati e consigliati dagli utenti.

Quali sono gli usi legittimi della pratica di IP spoofing?

Solitamente, quella dell’IP spoofing è una pratica molto utilizzata dagli hacker o dai sistemisti, oppure dagli amministratori di rete che vogliano testare i sistemi di sicurezza e di comunicazione delle imprese. Lo scopo finale è quello di capire se un progetto informatico è stato ben realizzato e se le risorse messe in campo dallo stesso riescono a reggere a diversi stimoli esterni duranti gli attacchi informatici. La formazione sul lanciare attacchi di IP spoofing, infatti, è uno dei punti di partenza per l’acquisizione di competenze informatiche.

Come proteggersi dall’IP spoofing?

Visto che, come già accennato, non è possibile distinguere gli indirizzi IP per discriminare quelli veri da quelli falsi, per proteggersi da un attacco di IP spoofing l’unico modo è incrociare le dita durante la navigazione in rete, ovvero cercare di impedirlo – questo comprende anche stare alla larga dall’analogo spoofing di email, a volte corrispondente con il phishing.

VPN

Per prima cosa, utilizzando una VPN (Virtual Private Network) si può agilmente riuscire a criptare in qualche maniera il traffico immesso su internet, mettendo l’attaccante in una condizione più difficoltosa di ottenimento dei dati inviati. Questo perché visto che tramite una VPN si camuffa anche il proprio indirizzo IP autentico, il malintenzionato avrebbe più difficoltà a decifrarlo del tutto, rendendogli in pratica sconveniente la procedura.

Antivirus

In secondo luogo potrebbe comunque essere importante coordinare un buon antivirus in ingresso e in uscita con un firewall, impostandoli in modo che setaccino meglio le connessioni in entrata e in uscita con lo scopo di trovare facilmente quei tentativi di IP spoofing meno precisi. Questa pratica, accoppiata al ricorso fisso di protocolli IPv6 riescono a limitare di molto i danni derivanti da un attacco di IP spoofing sui propri sistemi, se non altro quelli meno elaborati e portati avanti magari da persone poco esperto nel settore.

Qualche considerazione generale su IP spoofing e cybersecurity online

Quella dell’IP spoofing è solamente una delle tante trappole o altre problematiche alla sicurezza che, durante l’utilizzo periodico di internet, ci si possa trovare davanti. Vista la sostanziale impossibilità di prevenire questi attentati ai nostri dati, la cosa migliore da fare è affidare la gestione della propria sicurezza a professionisti del settore che operano con coscienza e competenza da molti anni. Bisogna infatti notare che la sicurezza informatica non ha prezzo vista la sempre più crescente centralità che sta ricoprendo nelle nostre attività online.

Shellrent, in questo senso, è ben vigile. Non a caso, il nostro payoff “il primo hosting Security First” ben ritrae l’importanza che ricoprono tutti gli aspetti legati alla cybersecurity. Oltre a presidiare le reti e le infrastrutture IT mediante un monitoraggio proattivo, eseguiamo regolarmente procedure di aggiornamento per rilevare e prevenire eventuali intrusioni a tutela dei dati ospitati degli utenti e dei loro progetti.

Forniamo servizi che rispondano a un elevato standard di sicurezza e curiamo tutti i processi in un’ottica security oriented. Tra i servizi più innovativi, sicuramente includiamo Disaster Recovery. Quest’ultimo può essere abbinato sia ai Web Hosting, che ai VPS e Private Cloud ed è ideale per personalizzare la retention, ovvero il tempo di conservazione dei backup di dati, per averli sempre a disposizione e ripristinarli celermente.

Avatar photo
460 articoli

Note sull'autore
Appassionata di comunicazione digitale, in Shellrent scrivo e condivido contenuti tecnici, informativi e novità del mondo IT. Fuori dall'ufficio mi divido tra stadi, montagna e altri angoli del mondo.
Articoli
Articoli correlati
Security First

Cos’è e come funziona un attacco brute force

3 minuti lettura
Esistono diversi attacchi cyber che possono compromettere il funzionamento dei siti web. Tra questi, il brute force è uno dei più frequenti e…
Security First

Cos'è un "trojan horse" e come difendersi dal malware

4 minuti lettura
Nel corso degli anni, la sicurezza informatica ha acquisito un’importanza sempre più centrale. Una delle minacce più diffuse nel settore è il…
Security First

Come verificare se un indirizzo IP è in blacklist e come rimuoverlo

3 minuti lettura
Se i messaggi di posta elettronica non raggiungono i destinatari, una delle prime ipotesi da prendere in considerazione è la possibilità che…