Núcleo de Informação e Coordenação do Ponto BR

Portal de Boas Práticas para a Internet no Brasil

Navegação global

Conteúdo

Seu provedor tem filtro antispoofing? Teste!

O NIC.br criou um sistema simples, que ainda está em estágio experimental, para ajudá-lo a testar se seu provedor está aplicando corretamente os filtros antispoofing.

Passo 1: você precisa do hping3

Você pode fazer o teste à partir de qualquer computador, desde que este tenha o software hping3 instalado. O hping é um programa para ser executado na linha de comando, que funciona como um montador e analisador de pacotes TCP/IP. Isso quer dizer que você pode montar pacotes arbitrários com o programa, que suporta TCP, UDP, ICMP e RAW-IP. Entre outras coisas, você pode usá-lo para testar firewall, fazer port scanning, testar a rede usando diferentes protocolos, TOS, fragmentação, fazer manualmente a descoberta do MTU, etc.

O hping tem versões para Linux, MacOS e Windows, e pode ser baixado em:

http://www.hping.org/download.php

Passo 2: vamos ao teste!

Se você é um usuário doméstico, prefira fazer o teste com o computador conectado diretamente ao equipamento do provedor, recebendo diretamente o IP válido fornecido pelo mesmo. Equipamentos de compartilhamento de conexões (NAT) podem interferir com os resultados.

Passo 3: entendendo os resultados

O teste envia quatro pacotes:

  • Um pacote válido, com a origem correta. É esperado que esse pacote chegue ao servidor do NIC.br.
  • Um pacote “spoofado”, com a origem num IP diferente do seu, mas na mesma rede.
  • Um pacote “spoofado”, com IP privado como origem.
  • Um pacote “spoofado”, com um IP válido, mas de uma rede diferente da sua, como origem.
  • Todos os pacotes são enviados para o endereço 200.160.4.197, que é o servidor de testes no NIC.br. Os pacotes “spoofados” só chegarão ao servidor do NIC.br se o provedor não tiver os filtros corretamente configurados.

    Interpretando seus resultados:

  • Se o servidor do NIC.br não registrou nenhum pacote, o teste falhou. Não é possível dizer se há filtro antispoofing ou não. Talvez um firewall ou NAT no meio do caminho esteja interferindo.
  • Se houver uma linha onde o  “IP Origem Recebido” e o “IP Externo Detectado” são iguais, parabéns, o teste foi um sucesso. Se foi a única linha que você encontrou, seu provedor também está de parabéns: sua rede não permite spoofing!
  • Se houver também uma linha onde o “IP Origem Recebido” é diferente do “IP Externo Detectado”, mas eles estão na mesma rede, significa que é possível “spoofar” pacotes dessa forma, utilizando endereços diferentes do seu, porém na mesma rede de origem.
  • Se houver também uma linha onde o “IP Origem Recebido” é 172.26.6.6, significa que é possível “spoofar” pacotes dessa forma, com endereços privados como origem. Seu provedor precisa implantar o filtro de antispoofing.
  • Se houver também uma linha onde o “IP Origem Recebido” é 200.160.6.6, significa que é possível “spoofar” pacotes dessa forma, com endereços válidos de outra rede, como origem. Seu provedor precisa implantar o filtro de antispoofing!
  • Publicado por: EquipeBCP

    A equipe do sítio http://bcp.nic.br é composta por profissionais de diversas áreas do NIC.br, que procuram destacar neste blog boas práticas que devem ser adotadas na Internet no Brasil.

    4 responses to “Seu provedor tem filtro antispoofing? Teste!”

    1. Boa noite!

      Ja testei em todos os navegadores e não funciona…

    2. qual a forma de usar o comando. instalado no ubuntu, porem nao sei como fazer.

    3. Sämüęl says:

      “>xssalert(“test”);

    4. edcure says:

      Sites we Like…

      […] Every once in a while we choose blogs that we read. Listed below are the latest sites that we choose […]…

    Leave a Reply