WikiDer > Атака с предсказанием последовательности TCP

TCP sequence prediction attack

А TCP атака с предсказанием последовательности это попытка предсказать порядковый номер, используемый для идентификации пакетов в TCP-соединении, который может использоваться для подделки пакетов.[1]

Злоумышленник надеется правильно угадать порядковый номер, который будет использоваться хостом-отправителем. Если они могут это сделать, они смогут отправлять поддельные пакеты на принимающий хост, который будет казаться исходящим от отправляющего хоста, даже если поддельные пакеты могут фактически исходить от какого-то третьего хоста, контролируемого злоумышленником. Один из возможных способов этого - прослушивание злоумышленником разговора между доверенными узлами, а затем выдача пакетов с использованием того же исходного IP-адреса. Наблюдая за трафиком до организации атаки, злоумышленник может определить правильный порядковый номер. После того, как IP-адрес и правильный порядковый номер известны, по сути, происходит гонка между злоумышленником и доверенным хостом за получение правильного пакета. Один из распространенных способов отправить его первым - запустить другую атаку на доверенный хост, например, атаку отказа в обслуживании. Когда злоумышленник получает контроль над соединением, он может отправлять поддельные пакеты, не получая ответа.[2]

Если злоумышленник может вызвать доставку поддельных пакетов такого типа, он или она может вызвать различные виды вреда, включая введение в существующее TCP-соединение данных по выбору злоумышленника и преждевременное закрытие существующего TCP-соединения. путем внедрения поддельных пакетов с установленным битом RST.

Теоретически другая информация, такая как разница во времени или информация с нижних уровней протокола, может позволить принимающему хосту отличить подлинные TCP-пакеты от отправляющего хоста и поддельные TCP-пакеты с правильным порядковым номером, отправленные злоумышленником. Если такая другая информация доступна принимающему хосту, если злоумышленник также может подделать эту другую информацию, и если принимающий хост собирает и правильно использует информацию, тогда принимающий хост может быть достаточно защищен от атак с предсказанием последовательности TCP. Обычно это не так, поэтому порядковый номер TCP является основным средством защиты трафика TCP от этих типов атак.

Другое решение этого типа атаки - настроить любой маршрутизатор или брандмауэр так, чтобы пакеты не приходили из внешнего источника, но с внутренним IP-адресом. Хотя это не устраняет атаку, это не позволяет потенциальным атакам достичь своих целей.[2]

Смотрите также

использованная литература

  1. ^ Белловин, С. (1 апреля 1989 г.). «Проблемы безопасности в пакете протоколов TCP / IP». Обзор компьютерных коммуникаций ACM SIGCOMM. Получено 6 мая 2011.
  2. ^ а б «Атака с предсказанием последовательности TCP».

внешние ссылки