Lo spoofing IP è rilevante per TCP? È rilevante per TLS o SSH?

Naviga le tue risposte
14

Ho letto il TCP Connection Establishment su Wikipedia

In breve i pacchetti da avviare sono

  • SYN , con un (forse) codice casuale numero A dal client.
  • SYN-ACK , che risponde, con A + 1 e (si spera) casuale numero di sequenza B dal server.
  • ACK , che risponde con B + 1 .

Teoricamente, un client non può aprire una connessione a un server, senza leggere i pacchetti. È qui che potrebbe entrare la forza bruta.

Le mie domande sono

  1. Di solito è necessaria la forza bruta? (presupponendo un sistema operativo moderno e una connessione non crittografata)

    Se sì, stiamo parlando di una forza bruta di short (65k possibilità) o int (4 miliardi)?

  2. È rilevante per le connessioni SSL / TLS / HTTPS?
  3. È rilevante per SSH?

Le sto chiedendo perché è stato implicito nelle risposte questa domanda che l'indirizzo IP può essere falsificato con un piccolo sforzo da parte di qualcuno che sa come.

    
posta George Bailey 14.03.2012 - 21:40
fonte

2 risposte

8

Per la forza bruta, dovresti indovinare correttamente il numero di sequenza iniziale del server che è a 32 bit (4 miliardi).

Tuttavia, TCP viene inviato in chiaro. Quindi se puoi intercettare un indirizzo IP falsificato (ad esempio, puoi annusare i pacchetti da un router tra il client e l'host), non devi indovinare il numero di sequenza iniziale, puoi solo intercettarlo.

Se riesci a intercettare i pacchetti, puoi avviare una connessione ssl / tls / https / ssh. Altrimenti non puoi.

    
risposta data 14.03.2012 - 21:53
fonte
5

Per rispondere alle tue domande,

Come menzionato in una delle risposte alla domanda a cui ti sei collegato, è banale spoofare i pacchetti IP, ma non le connessioni TCP.

La tua domanda presuppone che lo spoofer non possa intercettare i pacchetti in uscita dal suo indirizzo IP falsificato dal target, il che non è sempre il caso.

  1. Di solito è necessaria la forza bruta?

    • Se lo spoofer non è in grado di intercettare i pacchetti in uscita e il SO del mittente randomizza in modo casuale i numeri di sequenza TCP, allora sì, la forza bruta è necessaria (se funzionerà è una domanda completamente diversa).
    • Se lo spoofer è in grado di intercettarlo, allora no, possono solo dare un'occhiata al numero di sequenza TCP del pacchetto in uscita e costruire la loro risposta in natura.

  2. È rilevante per le connessioni SSL / TLS / HTTPS?

    • Lo spoofing di una connessione TCP con questi protocolli richiederebbe che lo spoofer sia in grado di intercettare i pacchetti in uscita dalla destinazione. Per quanto riguarda l'autenticazione, questo viene fatto dal certificato (vedi 3 per maggiori dettagli)

  3. È rilevante per SSH?

    • Vedere la risposta per 2 (sì, può essere falsificato se lo spoofer può intercettare i pacchetti in uscita). L'autenticazione è fatta da chiavi pubbliche / impronte digitali, quindi se l'attaccante (oops, intendo spoofer! Sicuramente non sta attaccando nulla ... :) ha accesso alla chiave privata del sistema che sta cercando di falsificare, quindi lo spoofer può essere surrettiziamente autenticato.
risposta data 14.03.2012 - 22:55
fonte

Leggi altre domande sui tag

Cosa succede quando un chip TPM si rompe o fallisce? Filosofia firewall