¿La falsificación de IP es relevante para TCP? ¿Es relevante para TLS o SSH?

Navega tus respuestas
14

He leído el establecimiento de conexión TCP en Wikipedia

En resumen, los paquetes para comenzar son

  • SYN , con un (
  • SYN-ACK , respondiendo con A + 1 y (con suerte) número aleatorio B del servidor.
  • ACK , respondiendo con B + 1 .

En teoría, un cliente no puede abrir una conexión a un servidor sin leer los paquetes. Ahí es donde podría entrar la fuerza bruta.

Mis preguntas son

  1. ¿Es usualmente necesaria la fuerza bruta? (asumiendo un sistema operativo moderno y una conexión sin cifrar)

    Si es así, ¿estamos hablando de una fuerza bruta de short (65k posibilidades) o int (4 mil millones)?

  2. ¿Es relevante para las conexiones SSL / TLS / HTTPS?
  3. ¿Es relevante para SSH?

Lo pregunto porque está implícito en las respuestas esta pregunta de que la dirección IP puede ser falsificada con poco esfuerzo por alguien que sepa cómo.

    
pregunta George Bailey 14.03.2012 - 21:40
fuente

2 respuestas

8

Para fuerza bruta, tendría que adivinar correctamente el número de secuencia inicial del servidor que es de 32 bits (4 mil millones).

Sin embargo, TCP se envía en texto plano. Por lo tanto, si puede escuchar una dirección IP falsificada (por ejemplo, puede detectar paquetes de un enrutador entre el cliente y el host), no necesita adivinar el número de secuencia inicial, simplemente puede interceptarlo.

Si puede interceptar los paquetes, puede iniciar una conexión ssl / tls / https / ssh. De lo contrario no puedes.

    
respondido por el dr jimbob 14.03.2012 - 21:53
fuente
5

Para responder a tus preguntas,

Como se mencionó en una de las respuestas a la pregunta a la que te vinculaste, es trivial a falsificar paquetes IP, pero no las conexiones TCP.

Su pregunta asume que el spoofer no puede interceptar los paquetes salientes a su dirección IP falsificada desde el objetivo, lo que no siempre es así.

  1. ¿Es usualmente necesaria la fuerza bruta?

    • Si el spoofer no puede interceptar los paquetes salientes y el sistema operativo del remitente aleatoriza correctamente los números de secuencia TCP, entonces sí, la fuerza bruta es necesaria (si funcionará es una pregunta completamente diferente).
    • Si el spoofer puede interceptar, entonces no, solo pueden echar un vistazo al número de secuencia TCP del paquete saliente y construir su respuesta en especie.

  2. ¿Es relevante para las conexiones SSL / TLS / HTTPS?

    • La suplantación de una conexión TCP con estos protocolos requeriría que el spoofer pueda interceptar paquetes salientes del destino. En lo que respecta a la autenticación, esto se hace mediante certificado (ver 3 para más detalles)

  3. ¿Es relevante para SSH?

    • Vea la respuesta para 2 (sí, se puede falsificar si el spoofer puede interceptar paquetes salientes). La autenticación se realiza mediante claves públicas / huellas dactilares, por lo que si el atacante (¡oops, me refiero a un spoofer! Seguramente no están atacando nada ... :) tiene acceso a la clave privada del sistema que está intentando falsificar, luego el spoofer puede ser autenticado a escondidas.
respondido por el Code Bling 14.03.2012 - 22:55
fuente

Lea otras preguntas en las etiquetas

¿Es posible no almacenar las contraseñas localmente? ¿Cómo funciona la Explotación de EternalBlue?