Che cos’è l’IP spoofing secondo Cloudflare

Abbiamo già parlato di come il protocollo http consenta di inviare e ricevere informazioni in internet. Precisiamo ora che ogni pacchetto di informazioni che viaggia sulla rete internet contengono anche una intestazione che precede il loro corpo contenente una serie di informazioni molto importanti e che include l’indirizzo IP del mittente. L’acronimo IP sta per “Internet Protocol”, le specifiche tecniche e le regole che consentono a miliardi di persone di accedere quotidianamente a Internet. Per tenere traccia di chi sta facendo una determinata cosa (visitando un sito internet, scaricando un file, inviando una mail, eccetera) il fornitore di servizi internet, l’azienda che ci fornisce la connettività chiamato anche ISP, assegna a ogni dispositivo connesso (modem, notebook, router, smartphone o PC) un codice univoco composto da quattro gruppi di tre numeri nella forma xxx.xxx.xxx.xxx. Questo è l’indirizzo IP della connessione, che possiamo paragonare all’indirizzo fisico di casa. Quando facciamo un ordine on-line dobbiamo fornire il nostro indirizzo in modo che il corriere sappia dove consegnare l’oggetto e allo stesso modo quando facciamo una richiesta in internet dobbiamo inviare il nostro indirizzo IP in modo che il server sappia a chi inviare la risposta.

Mascherare l’indirizzo IP

È evidente che i criminali informatici non possono e non vogliono far conoscere il loro indirizzo IP che equivarrebbe a lasciare, sulla scena di un delitto, il proprio biglietto da visita con un cartello “sono stato io”. Per evitare di essere scoperti e magari perseguiti dalla Legge ricorrono ad una tecnica definita IP spoofing che consiste nel mascherare il proprio indirizzo IP sostituendolo con un altro. Una sorta di cambio di identità. Per semplificare il concetto immaginiamo che un bot, un dispositivo infetto, stia lanciando un attacco verso un web server. Usando la tecnica dell’IP spoofing le risposte alle richieste saranno inviate al dispositivo che realmente ha avuto assegnato, legalmente, l’indirizzo IP usato dai criminali. Uno dei principali usi dello spoofing viene fatto durante gli attacchi DDoS. Falsificando e modificando continuamente l’indirizzo IP gli addetti alla sicurezza informatica avranno grosse difficoltà a rispondere con contromisure efficaci e non potranno nemmeno avere la possibilità di rintracciare l’autore e segnalarlo alle forze dell’ordine. Possiamo dire che la modifica dell’indirizzo IP è una dei grossi problemi di sicurezza del Protocollo TCP/IP e che le agenzie di sicurezza e i fornitori di software per web server ci lavorano quotidianamente. Di conseguenza la tecnica dell’IP spoofing può essere usata per mascherarsi e ottenere l’accesso o, addirittura, assumere il controllo totale di una sessione di un utente reale.

Come proteggersi dall’IP spoofing

Come abbiamo detto, prevenire l’IP spoofing è molto difficile salvo ritenere tutti sospetti. Tuttavia esistono delle buone pratiche per impedire a malintenzionati di intrufolarsi in una rete utilizzando pacchetti contraffatti. Una di queste è il filtro in ingresso, installato di solito su una macchina apposita che controlla tutti i pacchetti in entrata e ne esamina le intestazioni. Se trova intestazioni che non corrispondono all’origine o sono sospette il filtro in ingresso blocca il traffico proveniente da quell’IP. In alcuni casi viene attivato anche il filtro in uscita che controlla che tutti i pacchetti che vengono inviati dalla rete abbiano le intestazioni corrette e segnalando le anomalie riscontrate nel caso in cui un device, magari infettato da un malware, stia utilizzano l’IP spoofing.