Atak polegający na przewidywaniu sekwencji TCP

Część serii o
hakowaniu komputerów
Historia Phreaking Kryptowirusologia Włamanie do elektroniki użytkowej Lista hakerów
Kultura i etyka hakerów Hackathon Manifest hakerski Przestrzeń hakerska haktywizm Kultura twórców Rodzaje hakerów Czarny kapelusz Szary kapelusz biały kapelusz
Konferencje Odprawy Czarnych Kapeluszy Kongres Komunikacji Chaosu KON Hakerzy na planecie Ziemia Bezpieczeństwo B. strony ShmooCon Summercon
Przestępstwo komputerowe Oprogramowanie przestępcze Lista przestępców komputerowych Skryptowy dzieciak
Narzędzia hakerskie Wykorzystać systemy operacyjne ukierunkowane na kryminalistykę Ładunek Inżynieria społeczna Słaby punkt
Miejsca ćwiczeń HackThisSite Strefa-H
Złośliwe oprogramowanie rootkit Tylne drzwi Koń trojański Wirus Robak Programy szpiegujące Oprogramowanie wymuszające okup Bomba logiczna Botnet Rejestrowanie naciśnięć klawiszy UKRYTE Powłoka internetowa RCE
Bezpieczeństwo komputera Bezpieczeństwo aplikacji Bezpieczeństwo przetwarzania w chmurze Bezpieczeństwo sieci
Grupy Anonimowy Klub Komputerowy Chaosu Homebrew Computer Club (zlikwidowany) Legion Zagłady (zlikwidowany) LulzSec (zlikwidowany) Mistrzowie oszustwa (zlikwidowany) Drużyna czerwonych / Drużyna niebieskich
Publikacje 2600: Kwartalnik hakerów Wiadomości hakerskie Orzechy i wolty Phrack

Atak polegający na przewidywaniu sekwencji TCP jest próbą przewidzenia numeru sekwencyjnego używanego do identyfikacji pakietów w połączeniu TCP , który może zostać wykorzystany do podrobienia pakietów.

Atakujący ma nadzieję, że poprawnie odgadnie numer sekwencyjny, który ma być użyty przez hosta wysyłającego . Jeśli będą w stanie to zrobić, będą mogli wysyłać fałszywe pakiety do hosta odbierającego, które będą wyglądać na pochodzące od hosta wysyłającego, mimo że w rzeczywistości fałszywe pakiety mogą pochodzić z trzeciego hosta kontrolowanego przez atakującego. Jednym z możliwych sposobów na to jest podsłuchiwanie przez atakującego konwersacji między zaufanymi hostami, a następnie wysyłanie pakietów przy użyciu tego samego źródłowego adresu IP . Monitorując ruch przed atakiem, złośliwy host może ustalić prawidłowy numer sekwencyjny. Po poznaniu adresu IP i prawidłowego numeru sekwencyjnego jest to w zasadzie wyścig między atakującym a zaufanym hostem, aby wysłać prawidłowy pakiet. Jednym z powszechnych sposobów na wysłanie go jako pierwszy przez osobę atakującą jest przeprowadzenie kolejnego ataku na zaufanego hosta, takiego jak atak typu „odmowa usługi” . Gdy atakujący przejmie kontrolę nad połączeniem, może wysyłać fałszywe pakiety bez uzyskiwania odpowiedzi.

Jeśli atakujący może spowodować dostarczenie fałszywych pakietów tego rodzaju, może on być w stanie spowodować różnego rodzaju szkody, w tym wstrzyknięcie do istniejącego połączenia TCP danych wybranych przez atakującego oraz przedwczesne zamknięcie istniejącego połączenia TCP przez wstrzykiwanie fałszywych pakietów z ustawionym bitem RST. ( Atak resetowania TCP )

Teoretycznie inne informacje, takie jak różnice czasowe lub informacje z niższych warstw protokołów, mogą umożliwić hostowi odbierającemu odróżnienie autentycznych pakietów TCP od hosta wysyłającego i fałszywych pakietów TCP z poprawnym numerem sekwencyjnym wysłanych przez atakującego. Jeśli takie inne informacje są dostępne dla hosta odbierającego, jeśli atakujący może również sfałszować te inne informacje, a host odbierający gromadzi i prawidłowo wykorzystuje informacje, to host odbierający może być dość odporny na ataki oparte na przewidywaniu sekwencji TCP. Zwykle tak nie jest, więc numer sekwencyjny TCP jest podstawowym środkiem ochrony ruchu TCP przed tego typu atakami.

Innym rozwiązaniem tego typu ataku jest skonfigurowanie dowolnego routera lub zapory ogniowej w taki sposób, aby nie zezwalał na napływ pakietów z zewnętrznego źródła, ale z wewnętrznym adresem IP. Chociaż nie naprawia to ataku, zapobiegnie dotarciu potencjalnych ataków do celu.

Zobacz też

• Powódź SYN
• Pęknięcie
• Wracać
• Nmap
• Sniffer pakietów
• Parsknięcie
• Wireshark

Linki zewnętrzne

• RFC 1948, Defending Against Sequence Number Attacks, maj 1996, przestarzały przez RFC 6528 Steven M. Bellovin .
• RFC 6528, Obrona przed atakami z wykorzystaniem numeru sekwencji, luty 2012 r. Ścieżka standardowa Steven M. Bellovin
• Słabość oprogramowania 4.2BSD Unix TCP/IP