www.all2know.com Google WWW All2know fi
  Etusivu Etusivu | Tietoja Tietoja 
  Navigaatio
» Etusivu
» Artikelkategorier
» Luettelo luetteloista
» Aakkosellinen hakemisto
» Kalenteri
» Arvottu artikkeli
» Muokkaa Aiheesta muualla
Viimeisimmät muutokset: 2007-05-30
  Tänne linkitetyt sivut 
Verkkotiedustelu
TCP
IP-osoitteen väärentäminen
Kevin Mitnick
Luokka: TCP/IP Tietoturva

TCP-kaappaus
TCP-kaappaus tarkoittaa TCP:n mahdollistamaa protokollalla luotua yhteyden väärentämistä tai kaappamista. Toimenpide perustuu IP-väärennökseen, jossa käytännössä väärennetään IP-pakettien lähdeosoite, muutoin pyritään aivan normaalisti muodostamaan TCP-yhteyttä. Ongelmaksi tulee kuitenkin väärennetyn osoitteen käyttäytyminen; kun se saa kohdeasemalta SYN/ACK-paketin. Normaalisti tähän tulisi RFC 793:n mukaan vastata kohdeasemalle RST-valitsimella (ilmaisu hylätä yhteys välittömästi) varustetulla paketilla portin ollessa kiinni ja tämä aiheuttaisi luonnollisesti kaappauksen epäonnistumisen. Ongelma voidaan ratkaista mm. SYN-tulvaamalla kohdekoneen TCP-pino, jonka toivottu vaikutus olisi kykenemättömyys vastata yhteyspyyntöihin. Ratkaisu voi myös olla väärennetyn aseman yhteyksien hallinta, joka toisaalta edellyttäisi jonkin asteista asemaan tunkeutumista. Päällimmäinen ongelma kaappauksen onnistumisessa on kuitenkin TCP-yhteyden vaatimien kuittaus- eli ACK-numeroiden oikeellisuus väärennetyissä paketeissa; mikäli numerot eivät täsmää yhteyden muodostus epäonnistuu. Jos vastauspaketteja ei mitenkään voida nähdä (koska ne reititetään väärennettyyn osoitteeseen) täytyy kuittausnumerot pystyä päättelemään, jotta niihin voitaisiin lähettää oikealta näyttävä vastaus. Aikaisemmin TCP-pinojen aloittavat järjestysnumerot noudattivatkin yksinkertaisia kaavoja, joka saattoi olla verkkotiedustelua käyttämällä helpostikin selvitettävissä. Kaappausta pidettiin aikaisemmin hyvin teoreettisena ja vainoharhaisten henkilöiden spekulaationa kunnes se lopulta toteutettiin. TCP-pinototeutusten tuottamien järjestysnumeroiden ennustettavuutta on kaappausten jälkeen jossakin määrin onnistuneesti pyritty vaikeuttamaan.

Kuuluisa krakkeri Kevin Mitnick käytti TCP-kaappausta murtautuessaan tietoturvaekspertti Tsutomu Shimomuran koneeseen. Kaappausta ei todellisuudessa tarvittu kuin muutaman paketin verran; Mitnick käytti hyväkseen kahden koneen luottamussuhteita rlogin-palveluissa, jolloin hän onnistui muokkamaan Shimomuran rlogin-palvelimen erästä konfigurointitiedostoa siten, että etäkirjautumiset hyväksyttiin ilman salasanaa kaikista koneista. Vaikka kaappaus kesti kokonaisuudessaan vain muutaman sekunnin murto-osan, se oli kuitenkin olennainen osa kyseisen tietomurron onnistumista.

Katso myös

Aiheesta muualla

Tsutomu Shimomuran uutisryhmäviesti koneeseensa murtautumisesta, kun Kevin Mitnick käytti TCP-kaappausta:

http://www.takedown.com/coverage/tsu-post.html Aiheesta muualla Aiheesta muualla

Tarjoaa Wikipedia, vapaa tietosanakirja. Aiheesta muualla. Kaikki teksti on saatavilla GNU Free Documentation License Aiheesta muualla.