TCP hijacking.
TCP hijacking.
Эта атака объединяет в себе подслушивание трафика и IP-spoofing.
Главная задача злоумышленника - привести соединение своих жертв в так называемое десинхронизованное состояние, то есть такое состояние, при котором соединение считается установленным, но acknowledgement number не совпадает с ожидаемым значением одной из сторон.
Для приведения в десинхронизированное состояние существует два способа: ранняя десинхронизация и десинхронизация нулевыми данными.
Вернемся к нашим пользователям из прошлого примера. Пользователь А пытается установить соединение с Б, а злоумышленник Е прослушивает сегмент сети, по которому будут проходить пакеты этой сессии.
Отметим, что возможность прослушивания сегмента сети, по которому проходят интересующие злоумышленника пакеты, является необходимым условием для осуществления этой атаки. То есть злоумышленник должен иметь доступ к машине, через которую проходит сетевой поток, и обладать достаточными правами на ней, чтобы генерировать и перехватывать IP-пакеты.
Итак, пользователь А отправляет Б сегмент с некоторым (sequence number) A1, и поле code bit имеет значение SYN (т. е. запрос на соединение).
Пользователь Б отвечает сегментом с нужным (acknowledgement number)1 и своим (sequence number)B1.
Пользователь А подтверждает получение сегментом с acknowledgement number =(sequence number)B1+1.
В этот момент взломщик Е посылает Б сегмент от имени А, в котором в поле code bit установлено значение RST (Reset the connection) и sequence number имеет некоторое значение (sequence number)A2. И сразу же вслед за этим сегментом - другой сегмент, от имени пользователя А, с запросом на установление соединения.
Б сбросит первую сессию и откроет новую, на том же порту, но другим значением sequence number = (sequence number)A3.
Далее он отправит А сегмент с acknowledgement number и своим (sequence number)B2, но пользователь А этот сегмент проигнорирует, он для него неприемлем.
Затем А отправит Б ACK-сегмент и в свою очередь получит от пользователя Б ACK-сегмент, так как то, что он получил от А, для него также неприемлемо. И так до бесконечности.
Возникает явление, называемое ACK-буря. Но поскольку возможна потеря пакетов, то буря утихнет через какое-то время.
А вот злоумышленник Е пошлет пользователю Б сегмент от имени А с acknowledgement number = (sequence number)B2 + 1, т. е. с тем, который Б ждет. Пользователи А и Б будут считать, что между ними установлено соединение, однако оно десинхронизировано.
По сути, злоумышленник вмешается в уже установленную сессию и получит IP-адрес легального клиента. При этом самому клиенту можно послать флаг завершения сеанса, а можно воспользоваться атакой SYN-flood, которая будет в одном из следующих постов.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
TCP hijacking.
This attack combines traffic eavesdropping and IP spoofing.
The main task of the attacker is to bring the connection of his victims into a so-called desynchronized state, that is, a state in which the connection is considered established, but the recognition number does not match the expected value of one of the parties.
There are two ways to bring it to a desynchronized state: early desynchronization and desynchronization with zero data.
Let's return to our users from the previous example. User A is trying to establish a connection with B, and attacker E is listening to the network segment through which the packets of this session will pass.
Note that the ability to listen to the network segment through which the packets of interest to the attacker pass is a prerequisite for carrying out this attack. In other words, an attacker must have access to the machine through which the network stream passes, and have sufficient rights on it to generate and intercept IP packets.
So, user A sends B a segment with some (sequence number) A1, and the code bit field has a SYN value (i.e. a connection request).
User B responds with the required segment (recognition number)1 and 2 (sequence number)B1.
User A confirms receipt with a segment with recognition number =(sequence number)B1+1.
At this point, the hacker E sends B a segment on behalf of A, in which the value RST (Reset the connection) is set in the code bit field and sequence number has some value A2. And immediately after this segment, another segment, on behalf of user A, with a connection request.
B will reset the first session and open a new one, on the same port, but with a different value sequence number = (sequence number)A3.
Next, he will send A segment with the recognition number and his (sequence number)B2, but user A will ignore this segment, it is unacceptable for him.
Then A will send an ACK segment to B and in turn will receive an ACK segment from user B, since what he received from A is also unacceptable to him. And so on ad infinitum.
A phenomenon called an ACK storm occurs. But since packet loss is possible, the storm will subside after some time.
But attacker E will send user B a segment on behalf of A with an acknowledgement number = (sequence number)B2 + 1, i.e. with the one who is waiting for B. Users A and B will assume that a connection has been established between them, but it is desynchronized.
In fact, an attacker will interfere with an already established session and get the IP address of a legitimate client. At the same time, you can send a session termination flag to the client itself, or you can use the SYN-flood attack, which will be in one of the following posts.
Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.
Telegram channel: https://t.me/protectioninformation
Telegram Group: https://t.me/informationprotection1
Website: https://legascom.ru
Email: online@legascom.ru
#informationprotection #informationsecurity
TCP hijacking.
Dieser Angriff kombiniert Traffic-Lauschangriff und IP-Spoofing.
Die Hauptaufgabe eines Angreifers besteht darin, die Verbindung seiner Opfer in einen sogenannten desynchronisierten Zustand zu bringen, dh einen Zustand, in dem die Verbindung als hergestellt gilt, aber die acknowledgement-Nummer nicht mit dem erwarteten Wert einer Partei übereinstimmt.
Es gibt zwei Möglichkeiten, um in den desynchronisierten Zustand zu gelangen: eine frühe Desynchronisierung und eine Null-Desynchronisierung.
Zurück zu unseren Benutzern aus dem vorherigen Beispiel. Benutzer A versucht, eine Verbindung zu B herzustellen, und Angreifer E überwacht das Netzwerksegment, über das die Pakete dieser Sitzung geleitet werden.
Beachten Sie, dass die Möglichkeit, auf das Netzwerksegment zu hören, über das die Pakete von Interesse für einen Angreifer laufen, eine Voraussetzung für diesen Angriff ist. Das heißt, ein Angreifer muss Zugriff auf die Maschine haben, über die der Netzwerkstream läuft, und über ausreichende Rechte verfügen, um IP-Pakete zu generieren und abzufangen.
Also sendet Benutzer A ein Segment mit einer (Sequenznummer) A1 an B, und das Feld code bit hat den Wert SYN (dh die Verbindungsanforderung).
Benutzer B antwortet mit dem gewünschten Segment (acknowledgement number)1 und seiner eigenen (Sequenznummer)B1.
Benutzer A bestätigt den Empfang durch ein Segment mit acknowledgement number =(sequence number)B1+1.
An diesem Punkt sendet der Angreifer E ein Segment im Namen von A an B, in dem das Feld code bit auf RST gesetzt ist (Reset the connection) und die Sequenznummer einen bestimmten Wert hat (Sequenznummer)A2. Und unmittelbar nach diesem Segment ein anderes Segment, im Namen von Benutzer A, mit der Aufforderung, eine Verbindung herzustellen.
B setzt die erste Sitzung zurück und öffnet eine neue, am gleichen Port, aber mit einem anderen Wert sequence number = (sequence number)A3.
Als nächstes sendet er ein Segment mit acknowledgement number und seiner (Sequenznummer)B2, aber Benutzer A ignoriert dieses Segment, es ist für ihn nicht akzeptabel.
Dann sendet A ein B-ACK-Segment und erhält wiederum ein B-ACK-Segment vom Benutzer, da das, was er von A erhalten hat, für ihn ebenfalls inakzeptabel ist. Und so unendlich.
Ein Phänomen namens ACK-Sturm tritt auf. Aber da es möglich ist, Pakete zu verlieren, wird der Sturm nach einiger Zeit nachlassen.
Aber der Angreifer wird dem Benutzer ein Segment im Namen von A mit acknowledgement number = (Sequenznummer) B2 + 1 senden, dh mit dem, auf das B wartet. Benutzer A und B gehen davon aus, dass eine Verbindung zwischen ihnen hergestellt wurde, diese jedoch desynchronisiert ist.
Im Wesentlichen greift ein Angreifer in eine bereits festgelegte Sitzung ein und erhält die IP-Adresse des legitimen Clients. In diesem Fall kann der Client selbst ein Sitzungsabschlussflag senden, oder Sie können den SYN-Flood-Angriff verwenden, der in einem der folgenden Beiträge angezeigt wird.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
TCP hijacking.
Cette attaque combine l'écoute du trafic et le spoofing IP.
La tâche principale de l'attaquant est de mettre la connexion de ses victimes dans un état dit désynchronisé, c'est - à-dire un état dans lequel la connexion est considérée comme établie, mais acknowledgement number ne correspond pas à la valeur attendue par l'une des parties.
Il existe deux méthodes pour la désynchronisation: la désynchronisation précoce et la désynchronisation nulle.
Revenons à nos utilisateurs de l'exemple précédent. L'utilisateur A tente d'établir une connexion avec B et l'attaquant E écoute le segment de réseau sur lequel les paquets de cette session passeront.
Notez que la possibilité d'écouter le segment de réseau sur lequel passent les paquets d'intérêt de l'attaquant est une condition préalable à la mise en œuvre de cette attaque. C'est-à-dire qu'un attaquant doit avoir accès à la machine sur laquelle passe le flux réseau et disposer de privilèges suffisants pour générer et intercepter des paquets IP.
Ainsi, l'utilisateur a envoie un segment B avec un certain (sequence number) A1, et le champ code bit a la valeur SYN (c'est-à-dire la demande de connexion).
L'utilisateur B répond par un segment avec le bon (acknowledgement number)1 et son (sequence number)B1.
L'utilisateur A confirme la réception du segment avec acknowledgement number = (Sequence number)B1+1.
À ce stade, le pirate e envoie un segment B au nom de A dans lequel le champ code bit est défini sur RST (Reset The connection) et sequence number a une certaine valeur (sequence number)A2. Et immédiatement après ce segment - un autre segment, au nom de l'utilisateur A, avec une demande de connexion.
B réinitialisera la première session et ouvrira une nouvelle, sur le même port, mais avec une autre valeur sequence number = (sequence number)A3.
Ensuite, il enverra un segment a avec acknowledgement number et son (sequence number)B2, mais l'utilisateur a ignore ce segment, il n'est pas acceptable pour lui.
Ensuite, A enverra le segment ACK À B et recevra à son tour le segment ACK de l'utilisateur B, car ce qu'il a reçu de a n'est pas acceptable pour Lui non plus. Et donc à l'infini.
Un phénomène appelé tempête ACK se produit. Mais comme la perte de paquets est possible, la tempête disparaîtra après un certain temps.
Mais l'attaquant e enverra à L'utilisateur B un segment au nom de a avec acknowledgement number = (Sequence number)B2 + 1, c'est-à-dire avec Celui que B attend. Les utilisateurs A Et B supposeront qu'une connexion est établie entre eux, mais elle est désynchronisée.
Essentiellement, un attaquant interférerait avec une session déjà établie et obtiendrait l'adresse IP d'un client légitime. Dans ce cas, le client lui-même peut envoyer un indicateur de fin de session, et vous pouvez utiliser l'attaque SYN-flood, qui sera dans l'un des messages suivants.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
TCP hijacking.
Cette attaque combine l'écoute du trafic et le spoofing IP.
La tâche principale de l'attaquant est de mettre la connexion de ses victimes dans un état dit désynchronisé, c'est-à-dire un état dans lequel la connexion est considérée comme établie, mais le numéro d'enregistrement ne correspond pas à la valeur attendue par l'une des parties.
Il existe deux méthodes pour la désynchronisation : la désynchronisation précoce et la désynchronisation nulle.
Retournons à nos utilisateurs de l'exemple précédent. L'utilisateur A essaie d'établir une connexion avec B et l'attaquant E écoute le segment de réseau sur lequel les paquets de cette session passeront.
Notez que la possibilité d'écouter le segment de réseau sur lequel passent les paquets d'intérêt de l'attaquant est une condition préalable à la mise en œuvre de cette attaque. C'est-à-dire qu'un attaquant doit avoir accès à la machine sur laquelle passe le flux réseau et avoir des privilèges suffisants pour générer et intercepter des paquets IP.
Ainsi, l'utilisateur a envoyé un segment B avec un certain (sequence number) A1, et le champ code bit a la valeur SYN (c'est-à-dire la demande de connexion).
L'utilisateur B répond par un segment avec le bon (acknowledgement number)1 et son (sequence number)B1.
L'utilisateur A confirme la réception du segment avec acknowledgement number = (Sequence number)B1+1.
À ce stade, le pirate e envoie un segment B au nom de A dans lequel le champ code bit est défini sur RST (Reset The connection) et le numéro de séquence a une certaine valeur (sequence number)A2. Et immédiatement après ce segment - un autre segment, au nom de l'utilisateur A, avec une demande de connexion.
B réinitialisera la première session et ouvrira une nouvelle, sur le même port, mais avec une autre valeur de séquence number = (sequence number)A3.
Ensuite, il enverra un segment a avec acknowledgement number et son (sequence number)B2, mais l'utilisateur a ignoré ce segment, il n'est pas acceptable pour lui.
Ensuite, A enverra le segment ACK À B et recevra à son tour le segment ACK de l'utilisateur B, car ce qu'il a reçu de a n'est pas acceptable pour Lui non plus. Et donc à l'infini.
Un phénomène appelé tempête ACK se produit. Mais comme la perte de paquets est possible, la tempête disparaîtra après un certain temps.
Mais l'attaquant e enverra à l'utilisateur B un segment au nom de a avec acknowledgement number = (Sequence number)B2 + 1, c'est-à-dire avec Celui que B attend. Les utilisateurs A et B supposeront qu'une connexion est établie entre eux, mais elle est désynchronisée.
Essentiellement, un attaquant interférerait avec une session déjà établie et obtiendrait l'adresse IP d'un client légitime. Dans ce cas, le client lui-même peut envoyer un indicateur de fin de session, et vous pouvez utiliser l'attaque SYN-flood, qui sera dans l'un des messages suivants.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
TCP hijacking.
Este ataque combina el espionaje de tráfico y el spoofing IP.
La tarea principal del atacante es llevar la conexión de sus víctimas a lo que se llama un estado desincronizado, es decir, un estado en el que la conexión se considera establecida pero el acknowledgement number no coincide con el valor esperado de una de las partes.
Hay dos métodos para desincronizar: desincronización temprana y desincronización con datos nulos.
Volvamos a nuestros usuarios del ejemplo pasado. El usuario a intenta establecer una conexión con B, y el atacante E escucha el segmento de la red a través del cual pasarán los paquetes de esta sesión.
Tenga en cuenta que la capacidad de escuchar el segmento de la red a través del cual pasan los paquetes de interés del atacante es un requisito previo para la implementación de este ataque. Es decir, un atacante debe tener acceso a la máquina a través de la cual pasa el flujo de red y tener suficientes derechos sobre ella para generar e interceptar paquetes IP.
Entonces, el usuario a envía un segmento B con algún (número de secuencia) A1, y el campo Code bit se establece en SYN (es decir, solicitud de conexión).
El usuario B responde con el segmento deseado (acknowledgement number) 1 y su (sequence number) B1.
El usuario a confirma la Recepción del segmento con acknowledgement number = (sequence number) B1 + 1.
En este punto, el Cracker e envía un segmento B en nombre de A, en el que el campo Code bit se establece en RST (Reset the connection) y sequence number tiene algún valor (sequence number)A2. E inmediatamente después de este segmento hay otro segmento, en nombre del usuario A, con una solicitud de conexión.
B restablecerá la primera sesión y abrirá una nueva, en el mismo puerto, pero con un valor diferente sequence number = (sequence number)A3.
A continuación, enviará un segmento con acknowledgement number y su (sequence number)B2, pero el usuario a ignorará este segmento, es inaceptable para él.
Luego, A enviará un segmento ACK B y, a su vez, recibirá un segmento ACK del usuario B, ya que lo que recibió de a tampoco es aceptable para Él. Y así hasta el infinito.
Se produce un fenómeno llamado tormenta ACK. Pero como es posible la pérdida de paquetes, la tormenta se calmará después de un tiempo.
Pero el atacante e enviará al usuario B segmento en nombre de a con Acknowledgement number = (sequence number)B2 + 1, es decir, con El que B está esperando. Los usuarios A y B considerarán que se ha establecido una conexión entre ellos, pero que está desincronizada.
Esencialmente, el atacante intervendrá en una sesión ya establecida y obtendrá la dirección IP del cliente legítimo. En este caso, el cliente puede enviar la bandera de finalización de la sesión, o puede usar el ataque SYN-flood, que estará en una de las siguientes publicaciones.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
TCP hijacking.
Este ataque combina espionagem de tráfego e IP-spoofing.
A principal tarefa de um invasor é colocar a conexão de suas vítimas em um estado chamado dessincronizado, ou seja, um estado em que a conexão é considerada estabelecida, mas o número de acknowledgement não coincide com o valor esperado de uma das partes.
Existem duas maneiras de obter um estado dessincronizado: dessincronização precoce e dessincronização de dados Zero.
Voltemos aos nossos usuários do exemplo anterior. O usuário a tenta se conectar a B, enquanto o invasor e escuta o segmento de Rede pelo qual os pacotes da sessão serão transmitidos.
Note-se que a capacidade de ouvir o segmento de rede através do qual os pacotes de interesse do atacante passam é um pré-requisito para a implementação deste ataque. Ou seja, um invasor deve ter acesso à máquina através da qual o fluxo de rede passa e ter direitos suficientes sobre ela para gerar e interceptar pacotes IP.
Assim, o usuário a envia um segmento B com um número de sequência A1, e o campo code bit é SYN (ou seja, solicitação de conexão).
O usuário B responde com um segmento (acknowledgement number)1 e seu (sequence number)B1.
O usuário A confirma que o segmento recebeu acknowledgement number =(sequence number)B1+1.
Nesse ponto, o cracker e envia um segmento B como a, no qual o campo code bit é definido como RST (Reset the connection)e o número de sequência é definido como número de sequência A2. E imediatamente após esse segmento, outro segmento, em nome do usuário a, solicita a conexão.
B reiniciará a primeira sessão e abrirá uma nova, na mesma porta, mas com um valor diferente de sequence number = (sequence number)A3.
Em seguida, ele enviará um segmento a com acknowledgement number e seu próprio (sequence number)B2, mas o usuário a ignorará esse segmento, pois é inaceitável para ele.
Em seguida, a enviará o segmento ACK B e, por sua vez, receberá o segmento ACK B do usuário, pois o que ele recebeu de A também não é aceitável para ele. E assim por diante.
Ocorre um fenômeno chamado tempestade ACK. Mas uma vez que a perda de pacotes é possível, a tempestade vai diminuir em algum momento.
Em vez disso, o invasor e enviará ao usuário B um segmento em nome de A com acknowledgement number = (sequence number)B2 + 1, ou seja, aquele que espera por B. Os usuários a e B assumem que uma conexão foi estabelecida entre eles, mas é dessincronizada.
Em essência, o invasor interferirá em uma sessão já estabelecida e obterá o endereço IP de um cliente legítimo. Nesse caso, o cliente pode enviar o sinalizador de encerramento da sessão, ou você pode usar o ataque SYN-flood, que será em uma das seguintes postagens.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Sequestro de TCP.
Esse ataque combina espionagem de tráfego e falsificação de IP.
A principal tarefa do atacante é levar a conexão de suas vítimas a um chamado estado dessincronizado, ou seja, um estado em que a conexão é considerada estabelecida, mas o número de reconhecimento não corresponde ao valor esperado de uma das partes.
Existem duas maneiras de trazê-lo para um estado dessincronizado: dessincronização precoce e dessincronização com dados zero.
Voltemos aos nossos usuários do exemplo anterior. O usuário A está tentando estabelecer uma conexão com B e o invasor E está ouvindo o segmento de Rede pelo qual os pacotes desta sessão passarão.
Observe que a capacidade de ouvir o segmento de Rede pelo qual passam os pacotes de interesse do invasor é um pré-requisito para a realização desse ataque. Em outras palavras, um invasor deve ter acesso à máquina pela qual o fluxo de rede passa e ter direitos suficientes sobre ela para gerar e interceptar pacotes IP.
Assim, o usuário a envia a b um segmento com algum (Número de sequência) A1, e o campo de bit de código tem um valor SYN (ou seja, uma solicitação de conexão).
O usuário B responde com o segmento necessário (Número de reconhecimento)1 e 2 (Número de sequência)B1.
O usuário A confirma o recebimento com um segmento com número de reconhecimento =(número de sequência) B1+1.
Neste ponto, o hacker e envia a b um segmento em nome de A, no qual o valor RST (Reset the connection) é definido no campo code bit e sequence number tem algum valor A2. E imediatamente após esse segmento, outro segmento, em nome do usuário A, com uma solicitação de conexão.
B redefinirá a primeira sessão e abrirá uma nova, na mesma porta, mas com um valor diferente sequence number = (sequence number)A3.
Em seguida, ele enviará um segmento com o número de reconhecimento e seu (número de sequência)B2, mas o usuário a irá ignorar este segmento, é inaceitável para ele.
Então A enviará um segmento ACK para B e por sua vez receberá um segmento ACK do usuário B, Pois o que ele recebeu de A também é inaceitável para ele. E assim por diante ad infinitum.
Ocorre um fenômeno chamado tempestade ACK. Mas como a perda de pacotes é possível, a tempestade diminuirá após algum tempo.
Mas o invasor e enviará ao usuário B um segmento em nome de A com um número de confirmação = (número de sequência)B2 + 1, ou seja, com aquele que está esperando por B. Os usuários a e B assumirão que uma conexão foi estabelecida entre eles, mas está dessincronizada.
Na verdade, um invasor interferirá em uma sessão já estabelecida e obterá o endereço IP de um cliente legítimo. Ao mesmo tempo, você pode enviar um sinalizador de encerramento de sessão para o próprio cliente ou pode usar o ataque SYN-flood, que estará em uma das postagens a seguir.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
TCP hijacking.
Questo attacco combina intercettazioni di traffico e spoofing IP.
Il compito principale di un utente malintenzionato è portare la connessione delle sue vittime in quello che è noto come stato desincronizzato, ovvero uno stato in cui la connessione è considerata stabilita, ma il numero acknowledgement non corrisponde al valore previsto di una delle parti.
Esistono due modi per portare a uno stato desincronizzato: desincronizzazione precoce e desincronizzazione con dati nulli.
Torniamo ai nostri utenti dall'esempio passato. L'utente a tenta di stabilire una connessione con B e l'attaccante e ascolta il segmento di rete su cui passeranno i pacchetti di quella sessione.
Si noti che la capacità di ascoltare il segmento di rete attraverso il quale passano i pacchetti di interesse dell'attaccante è un prerequisito per eseguire questo attacco. Cioè, un utente malintenzionato deve avere accesso alla macchina attraverso la quale passa il flusso di rete e disporre di diritti sufficienti su di essa per generare e intercettare pacchetti IP.
Quindi l'utente a Invia A B un segmento con alcuni (sequence number) A1 e il campo code bit ha un valore SYN (cioè una richiesta di connessione).
L'utente B risponde con il segmento desiderato (acknowledgement number)1 e il suo (sequence number)B1.
L'utente a conferma la ricezione del segmento con acknowledgement number =(sequence number)B1+1.
A questo punto, il cracker e invia un segmento B per conto di A, in cui il campo code bit è impostato su RST (Reset the connection) e sequence number ha un valore (sequence number)A2. E subito dopo questo segmento - un altro segmento, per conto Dell'utente A, con una richiesta di connessione.
B ripristinerà la prima sessione e ne aprirà una nuova, sulla stessa porta, ma con un valore diverso sequence number = (sequence number)A3.
Quindi invierà un segmento con acknowledgement number e il suo (sequence number) B2, ma l'utente a ignorerà questo segmento, non è accettabile per lui.
Quindi a invierà un segmento ACK B e, a sua volta, riceverà un segmento ACK dall'utente B, Poiché anche ciò che ha ricevuto da A è inaccettabile per lui. E così all'infinito.
Si verifica un fenomeno chiamato tempesta ACK. Ma poiché è possibile la perdita di pacchetti, La tempesta si placherà dopo un po'.
Ma l'attaccante e invierà all'utente B un segmento per conto di A con acknowledgement number = (sequence number)B2 + 1, cioè con quello che B è in attesa. Gli utenti a e B presumeranno che sia stata stabilita una connessione tra di loro, tuttavia è desincronizzata.
In sostanza, un utente malintenzionato interverrà in una sessione già stabilita e otterrà l'indirizzo IP del client legittimo. In questo caso, il client stesso può inviare un flag di terminazione della sessione, oppure è possibile utilizzare L'attacco SYN-flood, che sarà in uno dei seguenti post.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
