В компьютерной безопасности атака отражения — это метод атаки на систему аутентификации вызов-ответ , которая использует один и тот же протокол в обоих направлениях. То есть, один и тот же протокол вызов-ответ используется каждой стороной для аутентификации другой стороны. Основная идея атаки — обмануть цель, заставив ее предоставить ответ на свой собственный вызов. [1]
Атака
Общая схема атаки выглядит следующим образом:
- Злоумышленник инициирует соединение с целью.
- Цель пытается аутентифицировать злоумышленника, отправляя ему вызов.
- Атакующий открывает еще одно соединение с целью и отправляет цели этот вызов как свой собственный.
- Цель отвечает на вызов.
- Злоумышленник отправляет этот ответ обратно цели по исходному соединению.
Если протокол аутентификации не разработан тщательно, цель воспримет этот ответ как действительный, тем самым оставив злоумышленнику одно полностью аутентифицированное канальное соединение (другое просто будет заброшено).
Решение
Ниже описаны некоторые из наиболее распространенных решений этой атаки:
- Ответчик отправляет свой идентификатор в ответе, поэтому, если он получает ответ, содержащий его идентификатор, он может отклонить его. [2]
- Алиса инициирует соединение с Бобом.
- Боб бросает вызов Алисе , отправляя одноразовый номер N. B → A: N
- Алиса отвечает, отправляя обратно MAC, рассчитанный на основе ее идентификатора, и одноразовый номер, используя общий ключ K ab . A → B: MAC K ab {A, N }
- Боб проверяет сообщение и подтверждает MAC-адрес, убеждаясь, что оно от Алисы, а не от сообщения, которое он отправлял в прошлом, убедившись, что оно совпадает с A, а не с B, и по одноразовому номеру, который совпадает с тем, который он отправил в своем вызове, затем он принимает сообщение.
- Требуйте от инициирующей стороны сначала отвечать на вызовы, прежде чем целевая сторона ответит на свои вызовы.
- Требуйте, чтобы ключ или протокол в двух направлениях были разными.
Смотрите также
Ссылки
