Che cos'è lo spoofing TCP?

2

So che lo spoofing IP è la stessa cosa? La domanda è nata dalla domanda Il TCP è più sicuro di UDP?

    
posta Ulkoma 08.10.2014 - 14:48
fonte

1 risposta

4

"Spoofing" nel contesto del networking significa che si crea una comunicazione in un sistema di rete che sembra provenire da un altro host. Per fare ciò con successo, devi impersonarli su ogni livello di protocollo dell'applicazione su cui desideri impersonarli.

L'iniezione di pacchetti IP che sembra provenire da un altro host è insufficiente per impersonare quell'host durante una connessione TCP, perché ogni segmento TCP ha un numero di sequenza a 32 bit. Un segmento con un numero di sequenza fuori riga verrà ignorato. Ciò significa che per inserire correttamente un segmento TCP in una trasmissione esistente devi indovinare il prossimo numero di sequenza, altrimenti il tuo segmento verrà scartato. Non è così difficile quando puoi origliare almeno sul client, ma quando non puoi, puoi solo forzarlo. Con protocolli di trasporto più semplici, come ad esempio UDP, non hai questo problema. UDP non ha numeri di sequenza, quindi, a meno che uno strato di protocollo superiore non replichi tale funzionalità, puoi semplicemente inserire segmenti aggiuntivi che saranno trattati come se provenissero dall'host reale.

Hai anche un altro problema quando non hai una connessione esistente e vuoi invece stabilire una nuova connessione TCP che sembra provenire da un altro host. Per stabilire una connessione TCP è necessario un handshake a 3 vie. (il client invia SYN, il server invia SYN, ACK, il client invia ACK). SYN, ACK dal server include un numero casuale di cui hai bisogno per un ACK accettabile. Quindi, quando puoi inviare solo pacchetti IP ma non ricevere nessuno dei pacchetti destinati all'host spoofato, dovrai indovinare questo numero.

    
risposta data 08.10.2014 - 15:37
fonte

Leggi altre domande sui tag