вторник, 1 декабря 2015 г.

TCP Handshake down. Или не скупитесь на RST...

Карл! Они взломали TCP, сволочи! http://lgms.nl/blog-2
Если коротко: теперь можно подделать IP адрес - не только отправить запрос (это можно было и раньше, для UDP даже иногда имело смысл). Теперь есть подозрение, что и TCP опасносте.
Реализация предполагает возможность успеть послать за время ожидания ответа (примерно 20 минут) 150Gb запросов и угадать число (SeqNum), которое использовалось для подтверждения и, как до сих пор предполагалось, надежно отсекает злодеев от настоящих Алис и Бобов.
Вот такой сюрприз от алгоритма из 1981 года. Тогда таких скоростей и представить себе было нельзя.
Атакующий в глобальной сети, впрочем, получит только возможность послать команды установив соединение. Ответы будут уходить настоящему адресату.

PS 
Хотя вот коллега по сетевым технологиям и ИБ Петр Шугалев, как бы намекает на массу нюансов:
Peter Shugalev:" Из статьи The attack is difficult to mitigate due to the nature of the TCP protocol
Это еще почему? TCP не посылает RST в ответ на неправильный ACK в состоянии SYN_RECEIVED только чтобы полудохлые не до конца закрытые соединения не мешали новым. Но в таких нормальных нехакерских ситуациях миллионов пакетов ACK не будет. Можно немного модифицировать реализацию TCP, чтобы, скажем, после 1000 неправильных seq number'ов соедиение сбрасывалось, и все...


 Атака кстати не оригинальная, митниковская, просто с поправкой на современную ширину канала"