Un ataque de predicción de secuencia TCP es un intento de predecir el número secuencial usado para identificar los paquetes en una conexión TCP, puede ser usado para falsificar paquetes.[1]
El atacante espera adivinar correctamente el número secuencial que será utilizado por el host que envía el paquete. Si el atacante logra adivinar este número, podrá enviar paquetes falsificados al host de destino que parecerán originados por el host que envía el paquete, a pesar de que los paquetes falsos pueden ser originados por un tercero que controla el ataque. Una manera de que esto ocurra es que el atacante escuche la conversación que ocurre entre diversos host de confianza y, posteriormente, enviar paquetes utilizando la misma dirección IP de origen. Al monitorear el tráfico antes de que el ataque sea montado, el atacante puede descubrir el número secuencial. Después de saber el número secuencial y la dirección IP, se convierte en una carrera entre el host de confianza y el atacante por ver quién envía el paquete correcto primero. Una forma común que utiliza el atacante para enviar el paquete primero es atacar el host de confianza a través de, por ejemplo, un ataque de denegación de servicios. Una vez que el atacante tiene control sobre la conexión, es capaz de mandar paquetes falsos sin necesidad de recibir respuesta.[2]
Si un atacante logra que se reciban estos paquetes falsos, puede causar varias acciones maliciosas, incluyendo inyección a la conexión TCP de datos de preferencia del atacante y el cierre prematuro de una conexión existente TCP a través de la inyección de paquetes RST.
Teóricamente, información como diferencias de tiempo o información de capas bajas de protocolos, pueden permitir al host de destino distinguir paquetes auténticos de TCP del host de confianza y paquetes falsos, esto, con el número secuencial correcto enviado por el atacante. Si esa información está disponible para el host de destino, si el atacante no es capaz de falsificar esa información y el host de destino junta y usa esa información correctamente, entonces el host de destino puede ser “inmune” a ataques de secuencia tipo TCP. Usualmente, este no es caso, así que el número secuencial es el primer medio de protección de tráfico TCP contra este tipo de ataque.
Otra solución a este ataque es configurar un router o un firewall para no permitir que entren paquetes de una fuente externa, pero con una dirección IP interna. Aunque esto no soluciona el ataque, va a prevenir que los potenciales ataques no lleguen a su destino.[2]
Bellovin, S.M. (1 de abril de 1989). «Security Problems in the TCP/IP Protocol Suite». ACM SIGCOMM Computer Communication Review. Consultado el 6 de mayo de 2011.
↑ «TCP Sequence Prediction Attack».
Enlaces externos
RFC 1948, Defending Against Sequence Number Attacks, May 1996, obsoleted by RFC 6528 Steven M. Bellovin.
RFC 6528, Defending against Sequence Number Attacks, February 2012 Standard Track Steven M. Bellovin
A Weakness in the 4.2BSD Unix TCP/IP Software
Datos:Q2383778
Agosto 15, 2021
ataque, predicción, secuencia, ataque, predicción, secuencia, intento, predecir, número, secuencial, usado, para, identificar, paquetes, conexión, puede, usado, para, falsificar, paquetes, atacante, espera, adivinar, correctamente, número, secuencial, será, ut. Un ataque de prediccion de secuencia TCP es un intento de predecir el numero secuencial usado para identificar los paquetes en una conexion TCP puede ser usado para falsificar paquetes 1 El atacante espera adivinar correctamente el numero secuencial que sera utilizado por el host que envia el paquete Si el atacante logra adivinar este numero podra enviar paquetes falsificados al host de destino que pareceran originados por el host que envia el paquete a pesar de que los paquetes falsos pueden ser originados por un tercero que controla el ataque Una manera de que esto ocurra es que el atacante escuche la conversacion que ocurre entre diversos host de confianza y posteriormente enviar paquetes utilizando la misma direccion IP de origen Al monitorear el trafico antes de que el ataque sea montado el atacante puede descubrir el numero secuencial Despues de saber el numero secuencial y la direccion IP se convierte en una carrera entre el host de confianza y el atacante por ver quien envia el paquete correcto primero Una forma comun que utiliza el atacante para enviar el paquete primero es atacar el host de confianza a traves de por ejemplo un ataque de denegacion de servicios Una vez que el atacante tiene control sobre la conexion es capaz de mandar paquetes falsos sin necesidad de recibir respuesta 2 Si un atacante logra que se reciban estos paquetes falsos puede causar varias acciones maliciosas incluyendo inyeccion a la conexion TCP de datos de preferencia del atacante y el cierre prematuro de una conexion existente TCP a traves de la inyeccion de paquetes RST Teoricamente informacion como diferencias de tiempo o informacion de capas bajas de protocolos pueden permitir al host de destino distinguir paquetes autenticos de TCP del host de confianza y paquetes falsos esto con el numero secuencial correcto enviado por el atacante Si esa informacion esta disponible para el host de destino si el atacante no es capaz de falsificar esa informacion y el host de destino junta y usa esa informacion correctamente entonces el host de destino puede ser inmune a ataques de secuencia tipo TCP Usualmente este no es caso asi que el numero secuencial es el primer medio de proteccion de trafico TCP contra este tipo de ataque Otra solucion a este ataque es configurar un router o un firewall para no permitir que entren paquetes de una fuente externa pero con una direccion IP interna Aunque esto no soluciona el ataque va a prevenir que los potenciales ataques no lleguen a su destino 2 Vease tambien EditarAircrack ng AirSnort BackTrack Ataque de denegacion de servicio Nmap Analizador de paquetes Snort SYN flood Wireshark Pouned Referencias Editar Bellovin S M 1 de abril de 1989 Security Problems in the TCP IP Protocol Suite ACM SIGCOMM Computer Communication Review Consultado el 6 de mayo de 2011 a b TCP Sequence Prediction Attack Enlaces externos EditarRFC 1948 Defending Against Sequence Number Attacks May 1996 obsoleted by RFC 6528 Steven M Bellovin RFC 6528 Defending against Sequence Number Attacks February 2012 Standard Track Steven M Bellovin A Weakness in the 4 2BSD Unix TCP IP Software Datos Q2383778Obtenido de https es wikipedia org w index php title Ataque de prediccion de secuencia TCP amp oldid 123592136, wikipedia, wiki, leyendo, leer, libro, biblioteca,
