web-dev-qa-db-fra.com

Le spoofing IP est-il pertinent pour TCP? Est-ce pertinent pour TLS ou SSH?

J'ai lu le TCP sur Wikipedia

En bref, les paquets pour commencer sont

  • [~ # ~] SYN [~ # ~ ~], avec un (espérons-le) aléatoire Numéro de séquence [~ # ~] a [- # ~] du client.
  • syn-ack, répondant, avec A + 1 et (espérons-le) aléatoire Numéro de séquence [- # ~] B [~ # ~] du serveur.
  • [~ # ~] ACK [~ # ~], répondant avec B + 1.

Théoriquement, un client ne peut pas ouvrir une connexion à un serveur, sans lire les paquets. C'est là que la force brute pourrait entrer.

Mes questions sont

  1. La force brute est-elle habituellement nécessaire? (en supposant un système d'exploitation moderne et une connexion non cryptée)

    Si oui, parlez-nous d'une force brute d'un short (possibilités de 65k) ou d'un int (4 milliards)?

  2. Est-il pertinent pour les connexions SSL/TLS/HTTPS?
  3. Est-ce pertinent pour SSH?

Je demande parce que cela a été impliqué dans les réponses cette question que l'adresse IP peut être utilisée avec peu d'effort par une personne qui sait comment.

networktlssship-spoofing
14
Bryan Field

À la force brute, vous devez deviner correctement le numéro de séquence initial du serveur, soit 32 bits (4 milliards).

Cependant, =TCP est envoyé en clairexuant. Donc, si vous pouvez écouter une adresse IP usurpée (par exemple, vous pouvez renifler des paquets d'un routeur entre le client et l'hôte), vous n'avez pas besoin de Devinez le numéro de séquence initial, vous pouvez simplement l'intercepter.

Si vous pouvez intercepter les paquets, vous pouvez démarrer une connexion SSL/TLS/HTTPS/SSH. Sinon, vous ne pouvez pas.

8
dr jimbob

Pour répondre à tes questions,

Comme mentionné dans l'une des réponses à la question que vous avez liée, elle est triviale aux paquets IP de spoof, mais pas TCP Connections.

Votre question suppose que le spoofer ne peut pas intercepter des paquets sortants à son adresse IP surpoffée de la cible, ce qui n'est pas toujours le cas.

  1. La force brute est-elle habituellement nécessaire?

    • Si le spoofer ne peut pas intercepter des paquets sortants et que le système d'exploitation de l'expéditeur est correctement randomises TCP numéros de séquence, alors oui, une force brute est nécessaire (si elle fonctionnera entièrement une question différente).
    • Si le spoofer peut intercepter, alors non, ils peuvent simplement jeter un coup d'œil sur le packet sortant TCP numéro de séquence et construire leur réponse en nature.

  2. Est-il pertinent pour les connexions SSL/TLS/HTTPS?

    • Spoofing A TCP Connexion avec ces protocoles nécessiterait que le spoofer puisse intercepter des paquets sortants de la cible. En ce qui concerne l'authentification, cela se fait par certificat (voir 3 pour plus de détails)

  3. Est-ce pertinent pour SSH?

    • Voir la réponse pour 2 (oui, peut être spoofed si Spoofer peut intercepter des paquets sortants). L'authentification est effectuée par des touches publiques/des empreintes digitales, donc si l'attaquant (oups, je veux dire spoofer! Sûrement ils n'attaquent rien ... :) a accès à la clé privée du système qu'il essaie de spoof, puis du spoofer peut être authentifié subrepticement.
5
Codebling