¿Cómo puede funcionar el ataque de inserción y engañar a un IDS en una conexión TCP?

0
  

Un IDS puede aceptar un paquete que un sistema final rechaza. Un IDS que hace esto comete el error de creer que el sistema final ha aceptado y procesado el paquete cuando en realidad no lo ha hecho. Un atacante puede explotar esta condición enviando paquetes a un sistema final que rechazará, pero que el IDS considerará válido. Al hacer esto, el atacante está '' insertando '' datos en el IDS, ningún otro sistema en la red se preocupa por los paquetes defectuosos. Secnet IDS Sección 3.1

Pero no lo entiendo, si el IDS recibe todos los paquetes y luego los pasa al sistema final, y de alguna manera el sistema final elimina uno de ellos (¿supongo que con suma de comprobación o algo así?) entonces si es un ¿Entonces la conexión TCP no esperaría el sistema final hasta que tenga todos los paquetes antes de enviarlos a la capa de aplicación y procesarlos?

Estoy diciendo TCP porque en la parte de Inserción de ese sitio web da un ejemplo HTTP de este ataque, pero si uno de los paquetes está dañado, ¿cómo puede el sistema final procesar esa solicitud HTTP antes de que lleguen todos los paquetes? incluso si usamos los indicadores URG y PSH en TCP , ¿no esperaría el proceso HTTP hasta que todos los paquetes lleguen antes de traducir la solicitud HTTP y ejecutarla? ¿No entiendo cómo puede funcionar esto? (Porque si traduce la solicitud antes de esperar a que los paquetes estén en orden, entonces la solicitud podría corromperse y no tener ningún significado)

En el ejemplo del sitio web, envía GET /cgi-bin/pleasedontdetecttthisforme? en lugar de GET /cgi-bin/phf? pero todavía no entiendo cómo se traduce y procesa el sistema final esta solicitud cuando uno o algunos de los paquetes estaban dañados. (basado en las reglas TCP, siempre debe esperar antes de que todos los paquetes estén bien y estén presentes antes de procesarlos)

    
pregunta AlenT 31.07.2018 - 15:58
fuente

1 respuesta

0

El problema con algunos dispositivos IDS / IPS simples es que no realizan el reensamblado de la secuencia. Tratan a esos dos como flujos diferentes y desechan los datos ya que no asocian los dos.

Por suerte, todos los IDS modernos realizan el reensamblaje de la secuencia. Puede leer sobre la implementación de SNORT aquí: enlace

    
respondido por el Joe M 31.07.2018 - 18:41
fuente

Lea otras preguntas en las etiquetas