Атака с предсказанием последовательности TCP - TCP sequence prediction attack
| Эта статья является частью серии статей о |
| Взлом компьютеров |
|---|
| История |
| Хакерская культура & этика |
| Конференции |
| Компьютерное преступление |
| Инструменты для взлома |
| Сайты практики |
| Вредоносное ПО |
| Компьютерная безопасность |
| Группы |
|
| Публикации |
А TCP атака с предсказанием последовательности это попытка предсказать порядковый номер, используемый для идентификации пакетов в TCP-соединении, который может использоваться для подделки пакетов.[1]
Злоумышленник надеется правильно угадать порядковый номер, который будет использоваться хостом-отправителем. Если они могут это сделать, они смогут отправлять поддельные пакеты на принимающий хост, который будет казаться исходящим от отправляющего хоста, даже если поддельные пакеты могут фактически исходить от какого-то третьего хоста, контролируемого злоумышленником. Один из возможных способов этого - прослушивание злоумышленником разговора между доверенными узлами, а затем выдача пакетов с использованием того же исходного IP-адреса. Наблюдая за трафиком до организации атаки, злоумышленник может определить правильный порядковый номер. После того, как IP-адрес и правильный порядковый номер известны, по сути, происходит гонка между злоумышленником и доверенным хостом за получение правильного пакета. Один из распространенных способов отправить его первым - запустить другую атаку на доверенный хост, например, атаку отказа в обслуживании. Когда злоумышленник получает контроль над соединением, он может отправлять поддельные пакеты, не получая ответа.[2]
Если злоумышленник может вызвать доставку поддельных пакетов такого типа, он или она может вызвать различные виды вреда, включая введение в существующее TCP-соединение данных по выбору злоумышленника и преждевременное закрытие существующего TCP-соединения. путем внедрения поддельных пакетов с установленным битом RST.
Теоретически другая информация, такая как разница во времени или информация с нижних уровней протокола, может позволить принимающему хосту отличить подлинные TCP-пакеты от отправляющего хоста и поддельные TCP-пакеты с правильным порядковым номером, отправленные злоумышленником. Если такая другая информация доступна принимающему хосту, если злоумышленник также может подделать эту другую информацию, и если принимающий хост собирает и правильно использует информацию, тогда принимающий хост может быть достаточно защищен от атак с предсказанием последовательности TCP. Обычно это не так, поэтому порядковый номер TCP является основным средством защиты трафика TCP от этих типов атак.
Другое решение этого типа атаки - настроить любой маршрутизатор или брандмауэр так, чтобы пакеты не приходили из внешнего источника, но с внутренним IP-адресом. Хотя это не устраняет атаку, это не позволяет потенциальным атакам достичь своих целей.[2]
Смотрите также
использованная литература
- ^ Белловин, С. (1 апреля 1989 г.). «Проблемы безопасности в пакете протоколов TCP / IP». Обзор компьютерных коммуникаций ACM SIGCOMM. Получено 6 мая 2011.
- ^ а б «Атака с предсказанием последовательности TCP».
внешние ссылки
- RFC 1948 г., Защита от атак по порядковому номеру, май 1996 г., исключено RFC 6528 Стивен М. Белловин.
- RFC 6528, Защита от атак по порядковому номеру, февраль 2012 г. Standard Track Стивен М. Белловин
- Недостаток программного обеспечения TCP / IP для Unix 4.2BSD