TCP sequence prediction attack

Un atac de predicció de seqüències TCP és un intent de predir el número de seqüència utilitzat per identificar els paquets en una connexió TCP, que es pot utilitzar per falsificar paquets.[1]

L'atacant espera endevinar correctament el número de seqüència que utilitzarà l'amfitrió que l'envia. Si poden fer-ho, podran enviar paquets falsificats a l'amfitrió receptor que semblaran que provenen de l'amfitrió emissor, tot i que els paquets falsificats poden originar-se d'algun tercer host controlat per l'atacant. Una manera possible d'això és que l'atacant escolti la conversa que es produeix entre els amfitrions de confiança i després emeti paquets amb la mateixa adreça IP d'origen. En supervisar el trànsit abans que es munti un atac, l'amfitrió maliciós pot esbrinar el número de seqüència correcte. Després de conèixer l'adreça IP i el número de seqüència correcte, és bàsicament una cursa entre l'atacant i l'amfitrió de confiança per obtenir el paquet correcte enviat. Una manera habitual que l'atacant l'enviï primer és llançar un altre atac a l'amfitrió de confiança, com ara un atac de denegació de servei. Un cop l'atacant té el control de la connexió, pot enviar paquets falsificats sense rebre resposta.[2]

Si un atacant pot provocar l'entrega de paquets falsificats d'aquest tipus, pot ser capaç de causar diversos tipus de mal, inclosa la injecció a una connexió TCP existent de dades de l'elecció de l'atacant i el tancament prematur d'una connexió TCP existent per part de l'atacant. injecció de paquets falsificats amb el bit RST establert, un atac de restabliment de TCP.[3]

Teòricament, altra informació, com ara les diferències de temps o la informació de les capes de protocol inferiors, podria permetre a l'amfitrió receptor distingir els paquets TCP autèntics de l'amfitrió que envia i els paquets TCP falsificats amb el número de seqüència correcte enviat per l'atacant. Si aquesta altra informació està disponible per a l'amfitrió receptor, si l'atacant també pot falsificar aquesta altra informació, i si l'amfitrió receptor recopila i utilitza la informació correctament, aleshores l'amfitrió receptor pot ser bastant immune als atacs de predicció de la seqüència TCP. Normalment, aquest no és el cas, de manera que el número de seqüència TCP és el mitjà principal de protecció del trànsit TCP contra aquests tipus d'atac.[4]

Una altra solució a aquest tipus d'atac és configurar qualsevol encaminador o tallafoc per no permetre l'entrada de paquets d'una font externa però amb una adreça IP interna. Tot i que això no soluciona l'atac, evitarà que els possibles atacs arribin als seus objectius.


Referències

  1. Mills, Matt. «What is a TCP Sequence Prediction Attack and How Does it Affect | ITIGIC» (en anglès americà), 02-12-2020. [Consulta: 20 novembre 2023].
  2. «TCP Sequence Prediction Attack» (en anglès). [Consulta: 20 novembre 2023].
  3. «What are the best practices for detecting and preventing TCP sequence prediction attacks?» (en anglès). [Consulta: 20 novembre 2023].
  4. Mitra, Amrita. «What is TCP Sequence Prediction Attack?» (en anglès americà), 07-03-2017. [Consulta: 20 novembre 2023].