TCP sequence prediction attack

Een TCP sequence prediction attack is een poging om het volgnummer van pakketten in een TCP-verbinding te voorspellen. Een aanvaller kan daarmee valse pakketten in de verbinding injecteren.^[1]

De aanvaller probeert het volgnummer dat door de verzendende host wordt gebruikt te voorspellen. Als dit lukt dan kan de aanvaller vervalste pakketten aan de ontvangende host sturen op zo'n manier dat het lijkt dat deze afkomstig zijn van de verzendende host. De aanvaller kan hiermee data in de verbinding injecteren, of ervoor zorgen dat de verbinding verstoord wordt.

Een methode om het volgnummer te voorspellen is door het bestaande gesprek af te luisteren, waarmee ook het huidige volgnummer bepaald kan worden. Vervolgens moet de aanvaller sneller dan de verzendende host een pakket met het volgende volgnummer versturen. Dit wordt vaak gedaan door ervoor te zorgen dat de echte host traag reageert, bijvoorbeeld met een denial-of-serviceaanval. Zodra de aanvaller deze race heeft gewonnen heeft deze de volledige controle over de verbinding, zonder dat de ontvangende host dit in de gaten heeft.^[2]

In principe is het mogelijk het verschil tussen de echte en de vervalste TCP-pakketten te zien, door te kijken naar andere informatie zoals tijdsverschil of informatie van lagere protocollagen. Als deze informatie niet ook vervalst wordt dan kan de ontvangende host redelijk immuun zijn voor dit soort aanvallen, maar meestal is dit niet het geval, zodat puur op het volgnummer vertrouwd moet worden.

Routers en firewalls kunnen deels bescherming bieden tegen deze aanval, door ervoor te zorgen dat pakketten met een externe bron, maar met een intern IP-adres niet geaccepteerd worden.^[2]

Zie ook[bewerken | brontekst bewerken]

• Aircrack-ng
• BackTrack
• Denial of service
• Nmap
• Packet sniffer
• Snort
• SYN flood
• Wireshark

Externe link[bewerken | brontekst bewerken]

• A Weakness in the 4.2BSD Unix TCP/IP Software

Noten[bewerken | brontekst bewerken]