4.4.2. Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
Для проведения данной атаки хакер должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. При передаче данных постоянно используются два 32-битных поля-счетчика (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в десинхронизированное состояние, когда присылаемые сервером значения счетчиков не будут совпадать с ожидаемым значением клиента, и наоборот [6,29,48]. В данном случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты отдельно для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.
Этапы реализации данной атаки и типы пересылаемых пакетов приведены на рис. 4.17.
Рис. 4.17. Этапы реализации подмены доверенного объекта (IP-hijacking)
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы:
s1 — A и B готовы,
s2 — С готов к перехвату трафика,
t1 — обмен A и B пакетами для установления соединения, перехват S-SYN и C-ACK,
s3 — пакет S-SYN, C-ACK перехвачен,
t2 — отправка RST от имени B,
s4 — соединение A-B закрыто для A,
t3 — отправка A S-SYN2 для B, перехват S-SYN2,
s5 — C-SYN2 обработан A,
t4 — отправка C-SYN2 от имени B,
s6 — S-SYN2 перехвачен, возникновение ACK-бури между A и B
t5 — отправка S-ACK2 от имени B,
s7 — S-ACK2 прият, соединение с правами B установлено,
t6 — обмен модифицированными данными с B по ACK, с A по ACK-2,
s 8 — результат.
Вид данной сети представлен на рис. 4.18.
Рис. 4.18. Вид сети Петри-Маркова для атаки «подмена доверенного объекта сети. Перехват TCP-сессии»
В этой сети позиции не имеют инцидентных дуг, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60,62]:
(4.14)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (4.2) при i1,…,6; j1,...,4.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
13243546576,
(4.15)
где 324354650,1 c,
110,2 с ‑ средние времена пересылки и обработки пакетов SYN и ACK;
2113,5 с ‑ среднее время запуска и настройки злоумышленником программы для реализации атаки.
Таким образом, среднее время перехода по всей сети 14,5 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рис. 4.19.
P(t)1et/14,5
P(t)
Рис. 4.19. Зависимость вероятности реализации атаки «угон TCP-сессии» от времени
Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.
1. Выявление ACK-бурь. С помощью специальных средств контроля за сетью возможно выявлять возникающие ACK-бури — бесконечный обмен ACK-пакетами атакуемого хоста и сервера при десинхронизации соединения, который, однако, в силу особенностей сетевых технологий длится обычно не более секунды из-за потери пакетов [33]. Таким образом, если система контроля зафиксирует ACK-бурю до ее затухания, используемая злоумышленником TCP-сессия будет прервана до того как злоумышленнику удастся начать обмен модифицированными данными, и 76→0.
2. Криптозащита (шифрование пакетов). В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов или надлежащим образом модифицировать их. Для данной сети шифрование пакетов влечет стремление среднего времени 76 перехода d76 (а, следовательно, и времени прохождения по всей сети) к бесконечности.