Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
201 lecturas y 2 respuestas
  • Cerrado

    ¿Qué es IP Spoofing?

    hola el log de seguridad del router me esta dando continuamente los siguientes mensajes:
    02.11.2004 23:28:39 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1510 (from ATM1 Inbound)
    02.11.2004 23:23:56 192.168.2.2 login success
    02.11.2004 23:23:49 User from 192.168.2.2 timed out
    02.11.2004 23:19:02 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1428 (from ATM1 Inbound)
    02.11.2004 23:13:51 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1824 (from ATM1 Inbound)
    02.11.2004 23:10:49 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1171 (from ATM1 Inbound)
    02.11.2004 22:59:45 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1824 (from ATM1 Inbound)
    02.11.2004 22:58:00 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1610 (from ATM1 Inbound)
    02.11.2004 22:21:36 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1438 (from ATM1 Inbound)
    02.11.2004 22:13:40 192.168.2.2 login success
    02.11.2004 22:12:35 **IP Spoofing** 127.0.0.1, 80->> 85.48.x.x, 1390 (from ATM1 Inbound)
    02.11.2004 22:11:38 NTP Date/Time updated
    01.01.2002 00:01:00 ATM1 get IP:85.48.x.x
    01.01.2002 00:00:16 ATM1 start PPP

    de que va eso de ip spoofing y como se solucionaria.
    salu2

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Que tu router detecte IP Spoofing significa que está…

      Que tu router detecte IP Spoofing significa que está recibiendo tráfico IP por un interfaz (en tu caso el ATM:1), con una IP origen que el router entiende que no debería llegar por ese interfaz (concretamente 127.0.0.1 sólo debe llegar, y sólo se debe llegar, por el interfaz de Loopback). Entonces el router se mosquea y dice: ¡POSIBLE SPOOFING!

      La IP 127.0.0.1 es la IP de Loopback de casi cualquier cosa en el mundo que tenga IP (salva contadas excepciones). En ese sentido, tu router también tiene una 127.0.0.1. Este tipo de IP's se usan internamente dentro de los equipos con fines diversos, y nunca, nunca, debería haber un paquete circulando por ninguna red que tenga IP 127.xx.xx.xx, ni de origen ni de destino.

      La pregunta que debes hacerte es ¿cómo puede llegarme del interfaz WAN un paquete que sólo puede proceder de mi Loopback? Claramente es anómalo.

      Podría ser un accidente: un servidor web (porque el tráfico procede del puerto 80, HTTP), con la pila de protocolos mal construída, que contesta poniendo como origen su IP de Loopback.

      O Puede ser un ataque: alguien que simula respuestas de un servidor web ubicado en tu propio router, y que está buscando que tu router reaccione con una determinada respuesta.

      ¿Cómo solucionarlo? De momento, detectándolo, éso es bueno. Lo siguiente sería poner un filtro aplicado al interfaz WAN que rechace cualquier paquete que llegue con una IP que no corresponda (aquí incluiría cualquier 127.x.x.x, y al menos los rangos que tengas en tu red privada). Para éso mírate cómo poner filtros en tu router.

      Josh, quiero mi antiguo nick, xavi_super.

    • Cerrado

      El IP Spoofing consiste en enviar un paquete IP con la…

      El IP Spoofing consiste en enviar un paquete IP con la dirección de origen falseada, de forma que el destinatario crea que proviene de otra localización. Esta técnica puede emplearse para muchas cosas, entre otras para un ataque DoS.
      En tu caso, pues no sé interpretar el log, porque no dices de que router es, parece de un 3Com11g. Una cosa, cuando te ha pasado eso que pones en tu ejemplo, ¿tu IP pública era por un casual la 85.48.x.x? Si no sabes como mirarlo, prueba en Cual es m IP. Si es así, simplemente el router detecta como spoofing las peticiones de tu ordenador (localhost=127.0.0.1) hacia tu ip pública. Pero si no es así, sería que alguien con esa IP está intentando acceder al router con la ip falsa 127.0.0.1, que es como si fuese tu propio ordenador y es muy peligroso. Alguien que entienda más del log del 3Com11g te podría ayudar más que yo con ese log.
      Saludos.