Атака с предсказанием последовательности TCP

Кибератака с использованием поддельных пакетов

Атака с предсказанием последовательности TCP — это попытка предсказать порядковый номер, используемый для идентификации пакетов в TCP-соединении , который может использоваться для подделки пакетов. ^[1]

Злоумышленник надеется правильно угадать порядковый номер, который будет использоваться отправляющим хостом . Если они смогут это сделать, они смогут отправлять на принимающий хост поддельные пакеты, которые будут выглядеть исходящими от отправляющего хоста, хотя на самом деле поддельные пакеты могут исходить от какого-то третьего хоста, контролируемого злоумышленником. Один из возможных способов добиться этого — злоумышленник прослушивает разговор, происходящий между доверенными хостами, а затем отправляет пакеты, используя тот же IP-адрес источника . Отслеживая трафик до начала атаки, вредоносный хост может определить правильный порядковый номер. После того, как IP-адрес и правильный порядковый номер известны, между злоумышленником и доверенным хостом, по сути, начинается гонка за отправку правильного пакета. Одним из распространенных способов, с помощью которых злоумышленник может отправить его первым, является запуск еще одной атаки на доверенный хост, например атаки типа «отказ в обслуживании» . Как только злоумышленник получит контроль над соединением, он сможет отправлять поддельные пакеты, не получая ответа. ^[2]

Если злоумышленник может вызвать доставку поддельных пакетов такого типа, он может причинить различного рода вред, включая внедрение в существующее TCP-соединение данных по выбору злоумышленника и преждевременное закрытие существующего TCP-соединения по внедрение поддельных пакетов с установленным битом RST, атака сброса TCP .

Теоретически другая информация, такая как разница во времени или информация с нижних уровней протокола , может позволить принимающему хосту отличить подлинные TCP-пакеты от отправляющего хоста и поддельных TCP-пакетов с правильным порядковым номером, отправленных злоумышленником. Если такая другая информация доступна принимающему хосту, если злоумышленник также может подделать эту другую информацию и если принимающий хост правильно собирает и использует эту информацию, то принимающий хост может быть достаточно невосприимчив к атакам с предсказанием последовательности TCP. Обычно это не так, поэтому порядковый номер TCP является основным средством защиты TCP-трафика от атак такого типа.

Другое решение для этого типа атаки — настроить любой маршрутизатор или брандмауэр так, чтобы пакеты не могли поступать из внешнего источника, но с внутреннего IP-адреса. Хотя это и не устраняет атаку, это предотвратит достижение целей потенциальными атаками. ^[2]

Смотрите также

• Портал бесплатного программного обеспечения с открытым исходным кодом

• Син-флуд
• Воздушная трещина
• BackTrack
• Нмап
• Сниффер пакетов
• Фыркать
• Вайршарк

Рекомендации

1. Белловин, С.М. (1 апреля 1989 г.). «Проблемы безопасности в наборе протоколов TCP/IP». Обзор компьютерных коммуникаций ACM SIGCOMM . Проверено 6 мая 2011 г.
2. «Атака с предсказанием последовательности TCP».

Внешние ссылки

• В. Эдди, изд. (август 2022 г.). Протокол управления передачей (TCP). Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9293 . ISSN  2070-1721. СТД 7. RFC 9293. Интернет Стандарт 7. сек. 3.4.1. Устаревшие RFC 793, 879, 2873, 6093, 6429, 6528 и 6691. Обновлены RFC 1011, 1122 и 5961.
• Слабость программного обеспечения Unix TCP/IP 4.2BSD