TCP sequence prediction attack

Een TCP sequence prediction attack is een poging om het sequentienummer te voorspellen die gebruikt wordt om pakketten in een TCP verbinding te identificeren. Dit sequentienummer kan gebruikt worden om pakketten te vervalsen.^[1]

De aanvaller hoopt het sequentienummer die door de verzendende host gebruikt wordt correct te gokken. Als dit lukt dan kunnen zij de ontvangende host vervalste pakketten sturen op zo'n manier dat het lijkt dat deze afkomstig zijn van de verzendende host. Dit terwijl de vervalste pakketten in werkelijkheid van een derde host afkomstig zijn die gecontroleerd wordt door de aanvaller. Een mogelijke manier voor de aanvaller om dit mogelijk te maken is het luisteren naar het gesprek tussen de vertrouwde hosten, om vervolgens pakketten te versturen naar de ontvangende host waarin het zelfde IP-adres wordt vermeld als die van de versturende host. Door het verkeer te monitoren voordat een aanval geïnitieerd is kan de kwaadaardige host uitvinden wat het juiste sequentienummer is. Nadat het IP-adres en het juiste sequentienummer bekend zijn, is het versturen van de correcte pakketten een gevecht tussen de aanvaller en de vertrouwde host. Een veelgebruikte methode voor de aanvaller is om eerst de aanval te openen op de vertrouwde host. Bijvoorbeeld door een Denial-of-Service aanval uit te voeren. Zodra de aanvaller de beschikking heeft tot de connectie kan het de vervalste pakketten versturen zonder dat de ontvangende host dit in de gaten heeft.^[2]

Als het de aanvaller lukt om de vervalste pakketten af te leveren dan kan deze verschillende manieren misbruik maken, waaronder het injecteren in een bestaande TCP-verbinding van data naar de keuze van de aanvaller en het prematuur sluiten van een bestaande TCP-verbinding door het injecteren van een vervalst pakket met een RST bit set.

Theoretisch gezien zou de ontvangende host het verschil kunnen zien tussen authentieke TCP-pakketten en de vervalste TCP-pakketten met het door de aanvaller verzonden correcte sequentienummer, door te kijken naar andere informatie zoals tijdsverschil of informatie van lagere protocollagen. Als zulke andere informatie beschikbaar is bij de ontvangende host, als de aanvaller niet ook deze informatie kan vervalsen en als de ontvangende host de informatie op juiste manier verzameld en gebruikt, dan zal de ontvangende host redelijk immuun zijn voor TCP sequence prediction attacks. Meestal is dit niet het geval en dan is het TCP sequentienummer de primaire bescherming van TCP-verkeer tegen dit soort aanvallen.

Een andere oplossing tegen dit type aanvallen is het zo configureren van alle routers of firewalls dat pakketten met een externe bron, maar met een intern IP-adres niet geaccepteerd worden. Dit zal de aanval niet voorkomen, maar wel voorkomen dat de aanvaller de eindbestemming bereikt.^[1]

Zie ook

Externe links

(en) RFC 1948, Defending Against Sequence Number Attacks, May 1996, obsoleted by RFC 6528 Steven M. Bellovin.
(en) RFC 6528, Defending against Sequence Number Attacks, February 2012 Standard Track Steven M. Bellovin.
(en) A Weakness in the 4.2BSD Unix TCP/IP Software

Bronnen, noten en/of referenties

Dit artikel of een eerdere versie ervan is een (gedeeltelijke) vertaling van het artikel TCP sequence prediction attack op de Engelstalige Wikipedia, dat onder de licentie Creative Commons Naamsvermelding/Gelijk delen valt. Zie de bewerkingsgeschiedenis aldaar.

↑ ^a ^b TCP Sequence Prediction Attack.
↑ Bellovin, S.M. (1 april 1989). Security Problems in the TCP/IP Protocol Suite. ACM SIGCOMM Computer Communication Review. Geraadpleegd op 6 mei 2011.

[techFaq-1] TCP Sequence Prediction Attack.

[Bellovin-2] Bellovin, S.M. (1 april 1989). Security Problems in the TCP/IP Protocol Suite. ACM SIGCOMM Computer Communication Review. Geraadpleegd op 6 mei 2011.

[1]

[2]