TCP атака предсказания последовательности является попыткой предсказать порядковый номер , используемый для идентификации пакетов в соединении TCP, который может быть использован для поддельных пакетов. [1]
Злоумышленник надеется правильно угадать порядковый номер, который будет использоваться хостом-отправителем. Если они могут это сделать, они смогут отправлять поддельные пакеты принимающему узлу, который будет казаться исходящим от отправляющего узла, даже если на самом деле поддельные пакеты могут исходить от какого-то третьего узла, контролируемого злоумышленником. Один из возможных способов сделать это - злоумышленник прослушать диалог, происходящий между доверенными узлами, а затем выдать пакеты, используя тот же исходный IP-адрес. Наблюдая за трафиком до организации атаки, злонамеренный хост может определить правильный порядковый номер. После того, как IP-адрес и правильный порядковый номер известны, по сути, происходит гонка между злоумышленником и доверенным хостом за получение правильного пакета. Один из распространенных способов отправить его первым - запустить другую атаку на доверенный хост, например атаку отказа в обслуживании. Как только злоумышленник получает контроль над соединением, он может отправлять поддельные пакеты, не получая ответа.[2]
Если злоумышленник может вызвать доставку поддельных пакетов такого типа, он или она может вызвать различные виды вреда, включая введение в существующее TCP-соединение данных по выбору злоумышленника и преждевременное закрытие существующего TCP-соединения. путем внедрения поддельных пакетов с установленным битом RST.
Теоретически другая информация, такая как разница во времени или информация с нижних уровней протокола, может позволить принимающему хосту отличать подлинные TCP-пакеты от отправляющего хоста и поддельные TCP-пакеты с правильным порядковым номером, отправленные злоумышленником. Если такая другая информация доступна принимающему хосту, если злоумышленник может также подделать эту другую информацию, и если принимающий хост собирает и использует информацию правильно, тогда принимающий хост может быть достаточно невосприимчивым к атакам с предсказанием последовательности TCP. Обычно это не так, поэтому порядковый номер TCP является основным средством защиты трафика TCP от этих типов атак.
Другое решение этого типа атаки - настроить любой маршрутизатор или брандмауэр так, чтобы пакеты не приходили из внешнего источника, но с внутренним IP-адресом. Хотя это не устраняет атаку, это не позволяет потенциальным атакам достичь своих целей. [2]
Смотрите также
Рекомендации
- ^ Белловин, SM (1 апреля 1989). «Проблемы безопасности в пакете протоколов TCP / IP» . Обзор компьютерных коммуникаций ACM SIGCOMM . Проверено 6 мая 2011 года . CS1 maint: обескураженный параметр ( ссылка )
- ^ а б «Атака с предсказанием последовательности TCP» .
Внешние ссылки
- RFC 1948, Защита от атак с использованием порядковых номеров, май 1996 г., отменено RFC 6528 Стивеном Белловином .
- RFC 6528, Защита от атак с использованием порядковых номеров, февраль 2012 г. Standard Track Стивен М. Белловин
- Слабость в программном обеспечении 4.2BSD Unix TCP / IP