Naar inhoud springen

TCP sequence prediction attack

Uit Wikipedia, de vrije encyclopedie
Dit is een oude versie van deze pagina, bewerkt door Elmar283 (overleg | bijdragen) op 12 sep 2015 om 14:11. (Gemaakt door het vertalen van de pagina "TCP sequence prediction attack")
Deze versie kan sterk verschillen van de huidige versie van deze pagina.
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)

Een TCP sequence prediction attack is een poging om het sequentienummer te voorspellen die gebruikt wordt om pakketten in een TCP verbinding te identificeren. Dit sequentienummer kan gebruikt worden om pakketten te vervalsen.[1]

De aanvaller hoopt het sequentienummer die door de verzendende [[Host@ICT |host]] gebruikt wordt correct te gokken. Als dit lukt dan kunnen zij de ontvangende host vervalste pakketten sturen op zo'n manier dat het lijkt dat deze afkomstig zijn van de verzendende host. Dit terwijl de vervalste pakketten in werkelijkheid van een derde host afkomstig zijn die gecontroleerd wordt door de aanvaller.

Een mogelijke manier voor de aanvaller om dit mogelijk te maken is het luisteren naar het gesprek tussen de vertrouwde hosten, om vervolgens pakketten te versturen naar de ontvangende host waarin het zelfde IP-adres wordt vermeld als die van de versturende host. Door het verkeer te monitoren voordat een aanval geïnitieerd is kan de kwaadaardige host uitvinden wat het juiste sequentienummer is. Nadat het IP-adres en het juiste sequentienummer bekend zijn, is het versturen van de correcte pakketten een gevecht tussen de aanvaller en de vertrouwde host. Een veelgebruikte methode voor de aanvaller is om eerst de aanval te openen op de vertrouwde host. Bijvoorbeeld door een [[Denial-of-Service]] aanval uit te voeren. Zodra de aanvaller de beschikking heeft tot de connectie kan het de vervalste pakketten versturen zonder dat de ontvangende host dit in de gaten heeft.

Als het de aanvaller lukt om de vervalste pakketten af te leveren dan kan deze verschillende manieren misbruik maken, waaronder het injecteren in een bestaande TCP-verbinding van data naar de keuze van de aanvaller en het prematuur sluiten van een bestaande TCP-verbinding door het injecteren van een vervalst pakket met een RST bit set.

Theoretisch gezien zou de ontvangende host het verschil kunnen zien tussen authentieke TCP-pakketten en de vervalste TCP-pakketten met het door de aanvaller verzonden correcte sequentienummer, door te kijken naar andere informatie zoals tijdsverschil of informatie van lagere protocollagen. Als zulke andere informatie beschikbaar is bij de ontvangende host, als de aanvaller niet ook deze informatie kan vervalsen en als de ontvangende host de informatie op juiste manier verzameld en gebruikt, dan zal de ontvangende host redelijk immuun zijn voor TCP sequence prediction attacks. Meestal is dit niet het geval en dan is het TCP sequentienummer de primaire bescherming van TCP-verkeer tegen dit soort aanvallen.

Een andere oplossing tegen dit type aanvallen is het zo configureren van alle [[router | routers]] of [[firewall | firewalls]] dat pakketten met een externe bron, maar met een intern IP-adres niet geaccepteerd worden. Dit zal de aanval niet voorkomen, maar wel voorkomen dat de aanvaller de eindbestemming bereikt.

Zie ook

Referenties

  1. Bellovin, S.M. (1 April 1989). Citefout: Ongeldig label <ref>; de naam "Bellovin" wordt meerdere keren met andere inhoud gedefinieerd.
  2. a b "TCP Sequence Prediction Attack".  Citefout: Ongeldig label <ref>; de naam "techFaq" wordt meerdere keren met andere inhoud gedefinieerd.
Overgenomen van "https://nl.wikipedia.org/w/index.php?title=TCP_sequence_prediction_attack&oldid=44882732"