Hálózati támadások - elfogás tcp-session (TCP munkamenet eltérítése)
Lehallgatás TCP-session lehetővé teszi a támadó átirányítani TCP stream. Továbbá, a cracker tudja győzni a jelszavas védelmet (például a telnet vagy ftp). Annak szükségességét, hogy hallgat (szippantás) alkalmazhatóságát korlátozza az ilyen típusú támadásokat, hogy a fizikai hálózati a cél. Mielőtt részletesen ezt a támadást, nézzük meg néhány alapvető elveit TCP.
Nem fogjuk vizsgálni részletesen a jelentés, de a hangsúly a szükséges pontokat, hogy megértsék a támadást. TCP fejléc tartalmazza a következő területeken:
forrás port és rendeltetési kikötő, azonosítva a kapcsolat;
sorszám azonosítja minden byte küldeni;
visszaigazolás számát, amely megfelel az utolsó bájt kapott;
különböző zászlók, többek között:
SYN, használt szinkronizálást, amikor létrehoz egy folyamatot;
ACK nyugtázó zászló TCP-szegmens;
PSH, rámutat annak szükségességére, hogy az adatok átvitelét a kérelmet.
A 8. ábra a folyamatot, amelynek célja egy TCP-kapcsolatot (háromutas kézfogás):
Pic.8: Három utas kézfogás
Ebben a példában a gép kezdeményezett TCP-kapcsolatot autó B.
A 9. ábrán egy eljárás adatok továbbítására a TCP protokoll:
A sorszámok szerint fog változni a küldött bájtok száma. Az ábra bemutatja a SEQ. visszaigazolás számát, hogy miután a PSH és ACK zászlók és a küldött bájtok száma zárójelben van feltüntetve.
Ez a támadás ad vegyületet szinkronizálás mindkét végén, amely lehetővé teszi, hogy végre a lehallgatást a munkamenet. Diszharmonikus, ha a sorszám a gépre küldik Egy bájt eltér a soros bájtok számát meg kell kapnia B. És fordítva.
A példában a 9. ábra az első lépés után, ha a B fogadja a csomagot, a gép A vár a válasz csomagot 60 x + egy visszaigazolási számot. Ha a csomagot küld a másik tartalmazni fog egy visszaigazoló számot, mint a diszharmonikus.
10. ábra bizonyították a támadás:
10. ábra: Intercept TCP-munkamenet
A gép B parancsot kap küldött az autó C és megerősíti ezt a küldött csomagot egy zászlóval ACK. Most, ha egy küldi a csomagot a B gép, akkor el kell utasítani, mivel ez lesz a sorszám eltér a várt B.
Van egy probléma, az úgynevezett „vihar megerősítések” (ACK Storm). Generál több ACK-csomagok. Ez akkor fordul elő, amikor egy TCP-A egység elküld egy csomagot egy hibás sorszám (mivel A diszharmonikus), B elutasítja azt, és küld egy ACK-csomagot a várt sorszám. Veszi ezt az ACK, mert ő is elvárja, egy másik sorszámot. És ezek után elküldi az ACK-pack gép B.
Ha nem találja, amit keres, azt javasoljuk, hogy használja a keresési lista: