Отражение атаки - Reflection attack

В компьютерная безопасность, а отражение атаки это метод нападения на проверка подлинности запрос-ответ система, использующая ту же протокол в обоих направлениях. То есть один и тот же протокол запроса-ответа используется каждой стороной для аутентифицировать с другой стороны. Основная идея атаки состоит в том, чтобы обманом заставить цель дать ответ на ее собственный вызов.[1]

Атака

Общая схема атаки следующая:

  1. Злоумышленник устанавливает соединение с целью.
  2. Цель пытается аутентифицировать злоумышленника, отправив ему запрос.
  3. Злоумышленник открывает другое соединение с целью и отправляет цели этот вызов как свой собственный.
  4. Цель отвечает на вызов.
  5. Злоумышленник отправляет этот ответ обратно цели в исходном соединении.

Если протокол аутентификации не разработан тщательно, цель будет принимать этот ответ как действительный, тем самым оставляя злоумышленнику одно полностью аутентифицированное соединение по каналу (от другого просто отказываются).

Решение

Некоторые из наиболее распространенных решений этой атаки описаны ниже:

  • Ответчик отправляет свой идентификатор в ответе, поэтому, если он получает ответ, в котором есть его идентификатор, он может его отклонить.[2]
  1. Алиса устанавливает соединение с Бобом
  2. Боб бросает вызов Алисе, отправляя nonce. B -> A: N
  3. Алиса в ответ отправляет свой идентификатор и одноразовый номер, зашифрованный с использованием общего ключа Kab. A -> B: {A, N} Kab
  4. Боб расшифровывает сообщение, проверяет, что оно от Алисы, а не сообщение, которое он отправил в прошлом, найдя в нем A, а не B, и если одноразовый номер совпадает с тем, который он отправил в своем вызове, то он принимает сообщение .
  • Требовать, чтобы инициирующая сторона сначала ответила на вызовы, прежде чем целевая сторона ответит на свои вызовы.
  • Требовать, чтобы ключ или протокол были разными в двух направлениях.

Смотрите также

использованная литература

  1. ^ Компьютерная сеть от Эндрю С. Таненбаум, 4-е издание, ISBN  0-13-038488-7, страницы 787-790.
  2. ^ Росс Дж. Андерсон: Разработка безопасности: руководство по созданию надежных распределенных систем, 1-е издание, стр.21, ISBN  0-471-38922-6