Esto es muy difícil de hacer para alguien, sin estar en el mismo segmento de red, y el segmento de red está puenteado, o utilizando un enrutador de estilo antiguo en lugar de un conmutador.
Uno de los pocos lugares donde esto funcionará es una red de banda base, como una infraestructura de planta de cable compartida sin fibra, como un cable coaxial de 75 ohmios para TV por cable. Esto generalmente se llama “banda ancha” solo como un término de marketing, ya que comparte el mismo cable con sus vecinos.
La mayoría de los sistemas operativos emitirán un mensaje de registro, si no una alerta real, cuando su dirección IP sea la misma que la de otra persona, y el mensaje ARP (Protocolo de resolución de direcciones) “quién tiene” se apague, y su computadora vea que otra persona responde el mensaje. El mensaje / alerta contendrá la dirección MAC (o OUI – Identificador único de la organización) de la máquina que reclama su dirección IP. A partir de esto, es muy fácil buscar el fabricante del hardware en cuestión, lo que le dará aproximadamente el tipo de máquina.
- ¿Cómo determina una red el tipo de máquina que está conectada a ella?
- ¿Cómo van los datos a la aplicación correcta cuando ingresan en una computadora desde una red?
- Cómo entender las subredes
- ¿Cuál es la relación entre una subred de AWS VPC y una tabla de ruta?
- Cómo (aprender a) conectar dos servicios con una API (con codificación)
Si no recibe esta alerta, es poco probable que alguien en su segmento local esté falsificando su dirección IP, y es más probable que ocurra algo más.
Si realmente está siendo falsificado por IP, entonces el propósito suele ser un ataque de denegación de servicio.
La técnica más común se llama ataque de “reflexión”, donde la dirección IP de origen en un paquete que solicita una respuesta de un servidor se falsifica a su dirección IP y se envía a un tercero; el tercero le responde, en lugar de responder a la fuente real del paquete. Por lo general, esto utiliza un protocolo de nivel superior que no tiene estado ni conexión, para evitar el protocolo de enlace (ya que su computadora no participará en el protocolo de enlace para configurar la conexión en primer lugar).
Este no es un ataque muy efectivo, ya que requiere que su atacante tenga un mayor ancho de banda que usted para que inunde su red. Incluso si hay muchas máquinas en las que se refleja el ataque, el ataque está limitado por la cantidad de paquetes de solicitud que el atacante puede enviar, ya que el ataque se basa en paquetes de respuesta a paquetes de solicitud individuales.
La otra razón para la suplantación de identidad es intentar suplantar una máquina interna a una red desde fuera de la red.
Existen varios métodos que pueden usarse para mitigar estos ataques.
El más trivial se llama filtrado de ingreso , que es donde configura el enrutador de la puerta de enlace para bloquear los paquetes desde el exterior de la red local que tienen una dirección de origen dentro de la red local: por definición, ninguno de estos paquetes puede ser válido.
Idealmente, todas las puertas de enlace también están configuradas para el filtrado de salida . Por ejemplo, la mayoría de los módems de cable y otros equipos de enrutador y DSL de banda ancha de otros proveedores para uso doméstico están configurados para bloquear los paquetes salientes que dicen ser de una dirección IP que no está en la red interior. Esto evita que alguien use un proveedor de cable, como Comcast, para implementar un ataque distribuido contra alguien (que también utilizará gran parte del ancho de banda de la compañía).
La mayor parte de la suplantación de direcciones IP es inútil en redes configuradas correctamente.