Parte de una serie sobre |
Piratería informática |
---|
Un ataque de predicción de secuencia TCP es un intento de predecir el número de secuencia utilizado para identificar los paquetes en una conexión TCP , que puede usarse para falsificar paquetes. [1]
El atacante espera adivinar correctamente el número de secuencia que utilizará el host emisor . Si puede hacerlo, podrá enviar paquetes falsificados al host receptor que parecerán originarse en el host emisor, aunque los paquetes falsificados puedan, de hecho, originarse en un tercer host controlado por el atacante. Una forma posible de que esto ocurra es que el atacante escuche la conversación que se produce entre los hosts de confianza y luego emita paquetes utilizando la misma dirección IP de origen . Al monitorear el tráfico antes de montar un ataque, el host malicioso puede averiguar el número de secuencia correcto. Una vez que se conocen la dirección IP y el número de secuencia correctos, es básicamente una carrera entre el atacante y el host de confianza para enviar el paquete correcto. Una forma común de que el atacante lo envíe primero es lanzar otro ataque al host de confianza, como un ataque de denegación de servicio . Una vez que el atacante tiene el control sobre la conexión, puede enviar paquetes falsificados sin obtener una respuesta. [2]
Si un atacante puede provocar la entrega de paquetes falsificados de este tipo, puede causar varios tipos de problemas, incluida la inyección en una conexión TCP existente de datos elegidos por el atacante y el cierre prematuro de una conexión TCP existente mediante la inyección de paquetes falsificados con el bit RST establecido, un ataque de reinicio de TCP .
En teoría, otra información, como las diferencias de tiempo o la información de las capas inferiores del protocolo, podría permitir al host receptor distinguir los paquetes TCP auténticos de los del host emisor y falsificar los paquetes TCP con el número de secuencia correcto enviados por el atacante. Si el host receptor dispone de esa otra información, si el atacante también puede falsificar esa otra información y si el host receptor recopila y utiliza la información correctamente, entonces el host receptor puede ser bastante inmune a los ataques de predicción de secuencia TCP. Por lo general, este no es el caso, por lo que el número de secuencia TCP es el principal medio de protección del tráfico TCP contra este tipo de ataques.
Otra solución a este tipo de ataques es configurar cualquier router o firewall para que no permita la entrada de paquetes de una fuente externa sino con una dirección IP interna. Aunque esto no soluciona el ataque, sí evitará que los posibles ataques lleguen a sus objetivos. [2]