Ataque de predicción de secuencia TCP

Ciberataque con paquetes falsificados

Un ataque de predicción de secuencia TCP es un intento de predecir el número de secuencia utilizado para identificar los paquetes en una conexión TCP , que puede usarse para falsificar paquetes. ^[1]

El atacante espera adivinar correctamente el número de secuencia que utilizará el host emisor . Si puede hacerlo, podrá enviar paquetes falsificados al host receptor que parecerán originarse en el host emisor, aunque los paquetes falsificados puedan, de hecho, originarse en un tercer host controlado por el atacante. Una forma posible de que esto ocurra es que el atacante escuche la conversación que se produce entre los hosts de confianza y luego emita paquetes utilizando la misma dirección IP de origen . Al monitorear el tráfico antes de montar un ataque, el host malicioso puede averiguar el número de secuencia correcto. Una vez que se conocen la dirección IP y el número de secuencia correctos, es básicamente una carrera entre el atacante y el host de confianza para enviar el paquete correcto. Una forma común de que el atacante lo envíe primero es lanzar otro ataque al host de confianza, como un ataque de denegación de servicio . Una vez que el atacante tiene el control sobre la conexión, puede enviar paquetes falsificados sin obtener una respuesta. ^[2]

Si un atacante puede provocar la entrega de paquetes falsificados de este tipo, puede causar varios tipos de problemas, incluida la inyección en una conexión TCP existente de datos elegidos por el atacante y el cierre prematuro de una conexión TCP existente mediante la inyección de paquetes falsificados con el bit RST establecido, un ataque de reinicio de TCP .

En teoría, otra información, como las diferencias de tiempo o la información de las capas de protocolo inferiores , podría permitir al host receptor distinguir los paquetes TCP auténticos de los del host emisor y falsificar los paquetes TCP con el número de secuencia correcto enviados por el atacante. Si el host receptor dispone de esa otra información, si el atacante también puede falsificar esa otra información y si el host receptor recopila y utiliza la información correctamente, entonces el host receptor puede ser bastante inmune a los ataques de predicción de secuencia TCP. Por lo general, este no es el caso, por lo que el número de secuencia TCP es el principal medio de protección del tráfico TCP contra este tipo de ataques.

Otra solución a este tipo de ataques es configurar cualquier router o firewall para que no permita la entrada de paquetes provenientes de una fuente externa sino con una dirección IP interna. Aunque esto no soluciona el ataque, sí evitará que los posibles ataques lleguen a sus objetivos. ^[2]

Véase también

• Portal de software libre y de código abierto

• inundación SYN
• Grieta en el aire
• Volver hacia atrás
• Mapa n
• Detector de paquetes
• Bufido
• Cableado

Referencias

1. Bellovin, SM (1 de abril de 1989). "Problemas de seguridad en el conjunto de protocolos TCP/IP". ACM SIGCOMM Computer Communication Review . Consultado el 6 de mayo de 2011 .
2. "Ataque de predicción de secuencia TCP".

Enlaces externos

• W. Eddy, ed. (agosto de 2022). Protocolo de control de transmisión (TCP). Grupo de trabajo de ingeniería de Internet . doi : 10.17487/RFC9293 . ISSN  2070-1721. STD 7. RFC 9293. Estándar de Internet 7 , sección 3.4.1. Deja obsoletos los RFC 793, 879, 2873, 6093, 6429, 6528 y 6691. Actualiza los RFC 1011, 1122 y 5961.
• Una debilidad en el software TCP/IP de Unix 4.2BSD