IP Spoofing con IP real cuando se ha realizado el protocolo de enlace de 3 vías TCP

En primer lugar, cada paquete TCP tiene un identificador secuencial , que comienza en una posición aleatoria. ( explicado brevemente en esta discusión ) Entonces, si el atacante está falsificando paquetes (que no son SYN ) (tratando de secuestrar una conexión existente), entonces todos esos paquetes falsificados serán ignorados o rechazados (dependiendo del tipo de paquete) porque Estarán fuera de secuencia.

Por lo tanto, para que el ataque tenga éxito, tendrá que estar escuchando la conexión para poder averiguar cuál debe ser el identificador secuencial.

Después de determinar la secuencia. (a través de la escucha pasiva) Es fácil hacer que el servidor acepte datos en secuencia.

  

El cliente A con IP real se ha conectado ... Ahora, la máquina atacante M envía un paquete que falsifica la dirección IP de A . .. ¿El indicador / campo ACK del servidor S será aceptado por A?

El paquete de acuse de recibo tendrá el mismo identificador secuencial que el paquete de datos enviado.

El cliente A no aceptará el Reconocimiento porque los datos se enviaron desde el atacante M . (por lo que el cliente aún no está anticipando un Reconocimiento)

(A menos que, por supuesto, esto fuera un ataque Activo (no pasivo) que le da al atacante más opciones, como MiTM verdadero)

Sin embargo, el servidor seguirá aceptando los datos.

Incluso si el cliente no acepta el Reconocimiento de paquetes de datos falsificados, la conexión permanecerá abierta. El cliente podría incluso enviar otro paquete de datos. El servidor ignorará el segundo paquete de datos porque tiene el mismo identificador secuencial, pero es probable que repita el acuse de recibo al cliente, lo que no sería lo más inteligente. No estoy 100% seguro de esto, así que publiqué un pregunta específica sobre ese punto solo para estar seguro.

  

El paquete enviado por M con IP falsificada de A recibe una respuesta de S a A . ¿Esta respuesta será aceptada por A ?

Sí, las secuencias de entrada y salida incrementarán sus identificadores secuenciales por separado.

El uso de una conexión segura como TLS detectará tales simulaciones de TCP con bastante facilidad, por lo que suele ser la solución recomendada.

La pregunta aún no está clara, pero intentaré hacer algunas suposiciones y responder algo.

Supongamos que A es el atacante y R es la IP real. S es el servidor.

Cosas para recordar.

• Los paquetes TCP, ya sean apretones de manos u otros paquetes, tendrán una secuencia número y un número de confirmación que ayudará a la Comunicar a las partes en la identificación de la sesión.
• Un protocolo de enlace de tres vías solo ocurre al comienzo de una conexión TCP, no con cada paquete de datos.

Así que vengo a tu pregunta,

1. R tiene una conexión existente con S
2. A envía un SYN a S con la IP de R como dirección de origen
3. S envía un SYN-ACK a R.
4. Dependiendo de la configuración, R no responderá o responderá con un RST ya que no podrá hacer coincidir la secuencia y el número de acuse de recibo del paquete recibido con lo que se espera de cualquiera de las conexiones que inició previamente.

La falsificación es posible si el sistema produce números de secuencia TCP predecibles.

No estoy seguro de entenderlo bien, pero en un escenario en el que una entidad legal Le se comunica con un servidor S mediante TCP, establece el final de comunicación final

Ahora, si un spoofer-attacker A , usa la IP de Le y se comunica con S , entonces el paquete se manejará en el contexto de comunicación entre Le y S . Sin embargo, tenga en cuenta que TCP mantiene el orden de los paquetes y esto es algo que A debe tener en cuenta antes de enviar el paquete, lo que hace que el esfuerzo sea un poco más difícil pero no imposible. Así que tal vez la respuesta no sea un ACK después de todo ...

Para restringir el acceso a la conexión TCP, debe usar la autenticación, por ejemplo, en la capa de aplicación.

Este es un enlace que me pareció interesante: descripción de TCP