Secuestro de sesión mediante ataque de intermediario
Session Hijack es un método de ataque que combina técnicas de rastreo y engaño. En términos generales, el secuestro de sesión significa que durante un proceso de comunicación normal, el atacante participa como un tercero en él o agrega otra información a los datos. O incluso cambiar encubiertamente el modo de comunicación entre las dos partes, es decir, de una conexión directa a una conexión que involucra al atacante. En pocas palabras, el atacante se inserta en la víctima y la máquina objetivo entre la víctima y la máquina objetivo. e intentar cambiar el canal de datos entre la víctima y la máquina objetivo a un canal de datos con una máquina proxy (la máquina del atacante) que parece una "estación de tránsito", interfiriendo así con ambas partes la transmisión de datos entre máquinas, como el monitoreo. datos confidenciales, reemplazo de datos, etc. Dado que el atacante ya ha intervenido, puede conocer fácilmente el contenido de los datos transmitidos por ambas partes y puede controlar esta "estación de tránsito" según sus propios deseos. Puede ser lógico o físico. La clave radica en si puede obtener los datos de ambas partes que se comunican.
El secuestro de sesión típico se basa en el principio de funcionamiento de TCP/IP. Antes del secuestro de sesión TCP/IP, primero expliquemos el mecanismo de juicio utilizado. por TCP/IP para confirmar la transmisión de datos Mucha gente debe haber tenido esta pregunta: TCP/IP utiliza conexiones punto a punto (punto a punto) para la transmisión de datos, pero ¿cómo funciona? ¿Los siguientes datos? Si se desconecta accidentalmente después de enviar los datos y otra persona se conecta a Internet con la dirección IP, ¿recibirá los datos devueltos por el servidor, siempre que haya visto el TCP/? Los libros de protocolo IP comprenderán que el protocolo TCP utiliza dos condiciones para confirmar cada canal TCP que ha establecido una conexión. La primera es la confirmación de conexión básica, es decir, las cuatro condiciones necesarias en una conexión TCP: IP de origen, puerto TCP de origen, destino. IP, puerto TCP de destino, la segunda condición es "Sequencenumbers, SEQ", que aparecen en pares y se dividen en "Sequence" (SEQ, campo de número de secuencia) y "AcknowledgementSequence" (ACKSEQ, campo de número de secuencia de confirmación), cada vez que TCP; establece una conexión, especificará dicha regla para ambas partes: el campo de número de secuencia indica el número de secuencia de los datos transmitidos en este mensaje en todo el flujo de datos que será transmitido por el host emisor, y el campo de número de secuencia de confirmación indica El número de secuencia del siguiente octeto en el host de la otra parte que el host que envía este mensaje espera recibir (puede ser difícil de entender aquí, puede dar un ejemplo no profesional para explicar: se estipula que los trabajadores en la línea de ensamblaje cada persona es responsable de la instalación. 8 piezas diferentes, cada vez que se transfieren a sus manos, solo se deben dejar las 8 posiciones de las piezas para que las instalen. Este es el campo del número de serie y se requiere que el siguiente trabajador lo instale en función de. el trabajador anterior. Las 8 partes de otra parte, este es el campo del número de serie de confirmación. Si el trabajador encuentra que el producto que le pasó tiene más o menos partes, significa que el trabajador anterior cometió un error y se toma el producto. fuera de la línea de montaje y reelaborado. Este es el estricto sistema de revisión y descarte de números de secuencia de TCP). TCP es muy cauteloso para evitar la suposición mencionada anteriormente. Aunque la probabilidad de que esto suceda es muy pequeña (debe cumplir con las condiciones básicas de confirmación de conexión de TCP), siempre existe la posibilidad de que suceda. Desafortunadamente, este par de números de secuencia es predecible, porque TCP debe cumplir con las siguientes reglas: el valor SEQ en el mensaje que un host está a punto de enviar debe ser igual al valor ACKSEQ en el mensaje que acaba de recibir, y el valor SEQ debe ser igual al valor ACKSEQ en el mensaje que acaba de recibir. quiere El valor ACKSEQ en el mensaje enviado debe ser el valor SEQ en el mensaje que recibió más la longitud de los datos TCP enviados en el mensaje, es decir, ambos "SEQ enviado esta vez = ACKSEQ recibido la última vez" "ACKSEQ enviado esto tiempo = SEQ recibido la última vez + longitud de datos TCP enviados esta vez".
Después de conocer esta regla, no es difícil para el atacante lanzar un "ataque de intermediario". Solo necesita intentar escuchar la primera condición (IP de origen, puerto TCP de origen, IP de destino, TCP de destino). puerto) en la conexión TCP de la víctima, y luego puede conocer los requisitos de uno de los hosts para los valores SEQ y ACKSEQ en el siguiente segmento de mensaje TCP que se recibirá, de modo que el atacante pueda usar los valores SEQ y ACKSEQ. Antes de que el host legítimo original reciba el mensaje TCP enviado por otro host legítimo, la información interceptada envía un mensaje TCP que cumple con la condición 2 (identificación del número de secuencia) al host. Si el host recibe el mensaje de ataque primero, será engañado y establezca una sesión TCP legítima entre el host atacante y el host atacado, y el mensaje de ataque cambiará los requisitos del host atacado para el valor del número de secuencia de confirmación en el siguiente mensaje TCP que se recibirá, lo que eventualmente provocará que el mensaje sea enviado por otro. host legítimo al host atacado para ser rechazado. Este patrón se llama "secuestro activo". En otras palabras, el atacante le ha robado los permisos de conexión a uno de los hosts legítimos y el atacante se ha convertido en una de las partes legítimas que se conectan. Este tipo de secuestro de sesión permite al atacante evitar la verificación de identidad y la autenticación de seguridad del visitante por parte del host atacado, lo que le permite acceder directamente al host atacado, causando así graves daños. Por ejemplo, si acaba de enviar la contraseña de su cuenta a un sitio determinado y un atacante se hace pasar por su conexión TCP, sus pérdidas serán impredecibles. Sin embargo, el secuestro de sesión tiene algunos requisitos para el entorno de red que pueden hacer que todos se relajen. Debe funcionar en un entorno de red utilizando direcciones MAC. Si es necesario, también debe cooperar con la suplantación del protocolo ARP. Solo la LAN puede satisfacer estas dos condiciones al mismo tiempo. tiempo. . La WAN no depende de direcciones MAC para encontrar computadoras, por lo que es difícil para un atacante insertarse entre dos computadoras desde la estructura WAN existente.