TCP Sequence Prediction

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

TCP Sequence Prediction (TCP Sequenzvoraussage, auch TCP sequence number prediction) bezeichnet eine Angriffsmethode in TCP/IP-Netzwerken um dem Opfer einen anderen Absender vorzutäuschen (IP-Spoofing) oder bestehende Verbindungen zu übernehmen (TCP/IP-Hijacking).

Das TCP/IP-Protokoll nummeriert alle Datenpakete, um den Datenstrom beim Empfänger wieder in der richtigen Reihenfolge rekonstruieren zu können, selbst wenn einzelne Pakete unterschiedliche Laufzeiten haben oder verloren gehen sollten. Die erste Sequenznummer wird beim Verbindungsaufbau ausgehandelt und dann von den Kommunikationspartnern selbständig weitergezählt; Pakete mit unerwarteten Sequenznummern (d. h. Sequenznummern die bereits empfangen wurden oder die über den verfügbaren Empfangspuffer hinausgehen würden) werden vom Empfänger verworfen.

Um sich für den Empfänger eines TCP/IP-Datenstroms als erwarteter Sender ausgeben zu können („spoofing“) oder gar die Verbindung komplett zu übernehmen („hijacking“) muss der Angreifer zunächst also versuchen, die vom jeweiligen Empfänger erwarteten Sequenznummern zu „erraten“ und gleichzeitig dafür zu sorgen, dass seine Datenpakete vor denen des tatsächlichen Senders ankommen (z. B. indem der Sender gleichzeitig mit einer Denial of Service-Attacke angegriffen wird). Gelingt dies, so verwirft der Empfänger daraufhin die Pakete des tatsächlichen Senders (da die entsprechenden Sequenznummern ja bereits vom Angreifer an den Empfänger gesendet wurden). Ab diesem Zeitpunkt scheinen die Pakete des Angreifers für den Empfänger vom erwarteten Sender zu kommen.

Gelingt es dem Angreifer zusätzlich noch, den tatsächlichen Sender so lange zu blockieren, dass die von ihm mitgezählten Sequenznummern des Empfängers sich um mehr als die Puffergröße von jenen des Empfängers unterscheiden kann er auch dem Sender gefälschte Pakete zuschicken und sich so in die Verbindung zwischen den beiden Kommunikationspartnern einklinken (TCP/IP-Hijacking), da die Sequenznummern dann für beide jeweils außerhalb des erwarteten Bereiches liegen.

Weblinks[Bearbeiten]