Атака с предсказанием последовательности TCP

Атака с предсказанием последовательности TCP — это попытка предсказать порядковый номер, используемый для идентификации пакетов в TCP-соединении , который можно использовать для подделки пакетов. ^[1]

Злоумышленник надеется правильно угадать порядковый номер, который будет использоваться отправляющим хостом . Если они смогут это сделать, они смогут отправлять на принимающий хост поддельные пакеты, которые будут выглядеть исходящими от отправляющего хоста, хотя на самом деле поддельные пакеты могут исходить от какого-то третьего хоста, контролируемого злоумышленником. Один из возможных способов добиться этого — злоумышленник прослушивает разговор, происходящий между доверенными хостами, а затем отправляет пакеты, используя тот же исходный IP-адрес . Отслеживая трафик до начала атаки, вредоносный хост может определить правильный порядковый номер. После того, как IP-адрес и правильный порядковый номер известны, между злоумышленником и доверенным хостом, по сути, начинается гонка за отправку правильного пакета. Одним из распространенных способов, с помощью которых злоумышленник может отправить его первым, является запуск еще одной атаки на доверенный хост, например атаки типа «отказ в обслуживании» . Как только злоумышленник получит контроль над соединением, он сможет отправлять поддельные пакеты, не получая ответа. ^[2]

Если злоумышленник может вызвать доставку поддельных пакетов такого типа, он может причинить различного рода вред, включая внедрение в существующее TCP-соединение данных по выбору злоумышленника и преждевременное закрытие существующего TCP-соединения по внедрение поддельных пакетов с установленным битом RST, атака сброса TCP .

Теоретически другая информация, такая как разница во времени или информация с нижних уровней протокола, может позволить принимающему хосту отличить подлинные TCP-пакеты от отправляющего хоста и поддельных TCP-пакетов с правильным порядковым номером, отправленных злоумышленником. Если такая другая информация доступна принимающему хосту, если злоумышленник также может подделать эту другую информацию и если принимающий хост правильно собирает и использует эту информацию, то принимающий хост может быть достаточно невосприимчив к атакам с предсказанием последовательности TCP. Обычно это не так, поэтому порядковый номер TCP является основным средством защиты TCP-трафика от атак такого типа.

Другое решение для этого типа атаки — настроить любой маршрутизатор или брандмауэр так, чтобы пакеты не могли поступать из внешнего источника, но с внутреннего IP-адреса. Хотя это и не устраняет атаку, это предотвратит достижение целей потенциальными атаками. ^[2]

См. также [ править ]

Ссылки [ править ]

^ Белловин, С.М. (1 апреля 1989 г.). «Проблемы безопасности в наборе протоколов TCP/IP» . Обзор компьютерных коммуникаций ACM SIGCOMM . Проверено 6 мая 2011 г.
↑ Перейти обратно: Перейти обратно: ^а ^б «Атака с предсказанием последовательности TCP» .

Внешние ссылки [ править ]

В. Эдди, изд. (август 2022 г.). Протокол управления передачей (TCP) . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9293 . ISSN 2070-1721 . СТД 7. RFC 9293 . Интернет Стандарт 7. сек. 3.4.1. Устаревшие RFC 793, 879, 2873, 6093, 6429, 6528 and 6691. Updates RFC 1011 , 1122 и 5961 .
Слабость программного обеспечения Unix TCP/IP 4.2BSD

[Bellovin-1] Белловин, С.М. (1 апреля 1989 г.). «Проблемы безопасности в наборе протоколов TCP/IP» . Обзор компьютерных коммуникаций ACM SIGCOMM . Проверено 6 мая 2011 г.

[techFaq-2] Перейти обратно: Перейти обратно: ^а ^б «Атака с предсказанием последовательности TCP» .

[1]

[2]