Un ataque de predicción de secuencia TCP es un intento de predecir el número de secuencia utilizado para identificar los paquetes en una conexión TCP, que se puede utilizar para falsificar paquetes. [1]
El atacante espera adivinar correctamente el número de secuencia que utilizará el host emisor. Si pueden hacer esto, podrán enviar paquetes falsificados al host receptor que parecerá originarse en el host emisor, aunque los paquetes falsificados puedan de hecho originarse en un tercer host controlado por el atacante. Una forma posible de que esto suceda es que el atacante escuche la conversación que ocurre entre los hosts de confianza y luego emita paquetes utilizando la misma dirección IP de origen. Al monitorear el tráfico antes de que se monte un ataque, el host malicioso puede averiguar el número de secuencia correcto. Una vez que se conocen la dirección IP y el número de secuencia correcto, es básicamente una carrera entre el atacante y el host de confianza para que se envíe el paquete correcto. Una forma habitual de que el atacante lo envíe primero es lanzar otro ataque al host de confianza, como un ataque de denegación de servicio. Una vez que el atacante tiene control sobre la conexión, puede enviar paquetes falsificados sin obtener una respuesta.[2]
Si un atacante puede provocar la entrega de paquetes falsificados de este tipo, es posible que pueda causar varios tipos de daños, incluida la inyección en una conexión TCP existente de datos elegidos por el atacante y el cierre prematuro de una conexión TCP existente. mediante la inyección de paquetes falsificados con el bit RST establecido.
Teóricamente, otra información, como diferencias de tiempo o información de capas de protocolo inferiores, podría permitir al host receptor distinguir los paquetes TCP auténticos del host emisor y los paquetes TCP falsificados con el número de secuencia correcto enviado por el atacante. Si dicha otra información está disponible para el host receptor, si el atacante también puede falsificar esa otra información, y si el host receptor recopila y usa la información correctamente, entonces el host receptor puede ser bastante inmune a los ataques de predicción de secuencia de TCP. Por lo general, este no es el caso, por lo que el número de secuencia de TCP es el medio principal de protección del tráfico de TCP contra este tipo de ataques.
Otra solución a este tipo de ataque es configurar cualquier enrutador o firewall para que no permita que los paquetes entren de una fuente externa pero con una dirección IP interna. Aunque esto no soluciona el ataque, evitará que los posibles ataques lleguen a sus objetivos. [2]
Ver también
Referencias
- ^ Bellovin, SM (1 de abril de 1989). "Problemas de seguridad en el conjunto de protocolos TCP / IP" . Revisión de comunicación informática ACM SIGCOMM . Consultado el 6 de mayo de 2011 .
- ^ a b "Ataque de predicción de secuencia TCP" .
enlaces externos
- RFC 1948, Defending Against Sequence Number Attacks, mayo de 1996, obsoleto por RFC 6528 Steven M. Bellovin .
- RFC 6528, Defendiendo contra ataques de número de secuencia, febrero de 2012 Pista estándar Steven M. Bellovin
- Una debilidad en el software 4.2BSD Unix TCP / IP