Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:stream_control_transmission_protocol [2021/01/16 21:07]
mfures [Uvod] 		racfor_wiki:stream_control_transmission_protocol [2024/12/05 12:24] (trenutno)
Redak 12: Redak 12:
 Internetski protokol (IP) adresni je sustav interneta kojemu su temeljne funkcionalnosti dostava paketa informacija sa izvorišnih na odredišne uređaje. IP je primarni način preko kojeg se uspostavljaju mrežne veze te je on baza interneta. IP ne upravlja redom kojim paketi prolaze. IP također ne upravlja otkrivanjem pogrešaka. Za takve funkcionalnosti zadužen je neki drugi protokol. Kada je potrebna pouzdana isporuka i dostava paketa, najčešće se koristi Transmission Control Protocol (TCP), a, kad takva pouzdanost kod isporuke paketa nije potrebna, najčešće se koristi User Datagram Protocol(UDP). Internetski protokol (IP) adresni je sustav interneta kojemu su temeljne funkcionalnosti dostava paketa informacija sa izvorišnih na odredišne uređaje. IP je primarni način preko kojeg se uspostavljaju mrežne veze te je on baza interneta. IP ne upravlja redom kojim paketi prolaze. IP također ne upravlja otkrivanjem pogrešaka. Za takve funkcionalnosti zadužen je neki drugi protokol. Kada je potrebna pouzdana isporuka i dostava paketa, najčešće se koristi Transmission Control Protocol (TCP), a, kad takva pouzdanost kod isporuke paketa nije potrebna, najčešće se koristi User Datagram Protocol(UDP).
  
-TCP je sjajan protokol za pouzdano slanje paketa mrežom, no sve veći broj modernih aplikacija neka od njegovih svojstava smatraju previše ograničavajućim. Iz toga slijedi da su mnoge moderne aplikacije posegnule za izgradnjom vlastitih mrežnih protokola za pouzdan prijenos podataka kojima je baza UDP.+TCP je protokol koji izvršava svoju zadaću za pouzdanim slanjem paketa mrežom, no sve veći broj modernih aplikacija neka od njegovih svojstava smatraju previše ograničavajućim. Iz toga slijedi da su mnoge moderne aplikacije posegnule za izgradnjom vlastitih mrežnih protokola za pouzdan prijenos podataka kojima je baza UDP.
 Neka od ograničenja koje bi korisnici htjeli zaobići: Neka od ograničenja koje bi korisnici htjeli zaobići:
  
--TCP pruža i pouzdan prijenos podataka i strog raspored slanja samih podataka. Nekim je aplikacijama bitan isključivo pouzdan prijenos podataka, dok je drugim aplikacijama potreban samo poredak kod prijenosa podataka. Za oba tipa ovih aplikacija, TCP predstavlja isključivo nepotrebno kašnjenje kod svoje primjene, budući da TCP ne nudi funkcionalnost potrebnu kako bi se pojedini dijelovi njegovih mogućnosti palile, odnosno gasile, već ovisno o korisničkoj potrebi  u izgradnji vlastitih aplikacija.+-TCP pruža i pouzdan prijenos podataka i strog raspored slanja samih podataka. Nekim je aplikacijama bitan isključivo pouzdan prijenos podataka, dok je drugim aplikacijama potreban samo poredak kod prijenosa podataka. Za oba tipa ovih aplikacija, TCP predstavlja isključivo nepotrebno usporavanje rada kod svoje primjene, budući da TCP ne nudi funkcionalnost potrebnu kako bi se pojedini dijelovi njegovih mogućnosti palile, odnosno gasile, već ovisno o korisničkoj potrebi  u izgradnji vlastitih aplikacija.
  
 -Činjenica da je TCP usredotočen na tok podataka često se pokazuje kao loša za rad mnogih aplikacija. Aplikacije često moraju izgrađivati vlastite sustave za označavanje samih poruka, a sam protokol često zahtjeva korištenje „push“ mogućnosti (korištenjem „push“ zastavice) kako bi osigurao prijenos podataka do ciljanog odredišta u razumnom vremenu. -Činjenica da je TCP usredotočen na tok podataka često se pokazuje kao loša za rad mnogih aplikacija. Aplikacije često moraju izgrađivati vlastite sustave za označavanje samih poruka, a sam protokol često zahtjeva korištenje „push“ mogućnosti (korištenjem „push“ zastavice) kako bi osigurao prijenos podataka do ciljanog odredišta u razumnom vremenu.
Redak 27: Redak 27:
  
  
-===== Arhitektura Sloja =====+===== Arhitektura Protokola=====
  
-SCTP je kao sloj smješten između korisničke aplikacije koja ga koristi te mreže koja koristi pakete kao što je IP. U nastavku ovog seminara pretpostavlja se upravo korištenje SCTP-a na IP-u. Osnovna usluga koju pruža SCTP je pouzdan prijenos korisničkih poruka između SCTP korisnika. Poruke se razmjenjuju između dvije SCTP krajnjih točaka.+SCTP je kao sloj smješten između korisničke aplikacije koja ga koristi te mreže koja koristi pakete kao što je IP. U nastavku ovog seminara pretpostavlja se upravo korištenje SCTP-a na IP-u. Osnovna usluga koju pruža SCTP je pouzdan prijenos korisničkih poruka između SCTP korisnika. Poruke se razmjenjuju između dvije SCTP krajnje točake.
  
 SCTP krajnje točke su logički primatelji odnosno pošiljatelji SCTP paketa. Kod više odredišnih poslužitelja, SCTP krajnje točke se međusobno prikazuju svojim „peer“-ovima kao kombinacije popisa dostupnih transportnih adresa na koje se željeni SCTP paketi mogu slati i popisa adresa sa kojih SCTP paketi povezani uz ovu krajnju točku mogu pristizati drugim krajnjim točkama. Sve transportne adrese korištene od strane SCTP krajnje točke moraju koristiti isti „port“ broj, ali mogu imati različite IP adrese. Transportna adresa SCTP krajnje točke ne smije se koristiti kod neke druge SCTP krajnje točke, tj. transportna adresa jedinstvena je za SCTP krajnju točku. SCTP krajnje točke su logički primatelji odnosno pošiljatelji SCTP paketa. Kod više odredišnih poslužitelja, SCTP krajnje točke se međusobno prikazuju svojim „peer“-ovima kao kombinacije popisa dostupnih transportnih adresa na koje se željeni SCTP paketi mogu slati i popisa adresa sa kojih SCTP paketi povezani uz ovu krajnju točku mogu pristizati drugim krajnjim točkama. Sve transportne adrese korištene od strane SCTP krajnje točke moraju koristiti isti „port“ broj, ali mogu imati različite IP adrese. Transportna adresa SCTP krajnje točke ne smije se koristiti kod neke druge SCTP krajnje točke, tj. transportna adresa jedinstvena je za SCTP krajnju točku.
Redak 63: Redak 63:
 ===== Napadi na STCP ===== ===== Napadi na STCP =====
  
-Postoji nekoliko prepoznatih mogućnosti za napad na aplikacije koje se koriste STCP-om, a potječu iz samog STCP-a. U nastavku će biti prikazani neki od tih napada.+Postoji nekoliko prepoznatih mogućnosti za napad na aplikacije koje se koriste STCP-om, a potječu, ili iz samog STCP-a, ili iz korisničke neobzirnosti prilikom oblikovanja korisničkih aplikacija. U nastavku će biti prikazani neki od tih napada.
  
 ==== Krađa ili zauzimanje adrese==== ==== Krađa ili zauzimanje adrese====
-Ovo je napad tipa uskraćivanja resursa dizajniran oko činjenice da SCTP koristi višestruko usmjeravanje. Napadač se spaja na poslužitelj te tamo prijavljuje nekorištenu adresu čime onemogućuje stvarnog korisnika da se spoji i komunicira sa serverom, a što je i svrha napada. +Ovo je napad tipa uskraćivanja resursa dizajniran oko činjenice da SCTP koristi višestruko usmjeravanje. Napadač se spaja poslužiteljem te tamo prijavljuje nekorištenu adresu čime onemogućuje stvarnog korisnika da se spoji i komunicira sa serverom, a što je i svrha napada. 
 ==Detalji napada== ==Detalji napada==
 Iduća figura ilustrira vezu organizaciju mreže prije napada Iduća figura ilustrira vezu organizaciju mreže prije napada
Redak 85: Redak 85:
  
 ==== Krađa veze==== ==== Krađa veze====
-Krađa veze napad je koji omogućuje nekom korisniku da preuzme kontrolu nad sjednicom stvorenom od strane neke druge ključne točke. U slučaju kada napadač može slati pakete koristeći žrtvinu IP-adresu kao izvorišnu adresu te može primati podatke koristeći žrtvinu adresu kao odredišnu adresu, tada napadač može ponovno pokrenuti uspostavu veze s poslužiteljem. Ako žrtva ne vodi računa o „restart“ obavijestima, tada je napadač preuzeo kontrolu nad vezom žrtve i poslužitelja.+Krađa veze napad je koji omogućuje nekom korisniku da preuzme kontrolu nad sjednicom stvorenom od strane neke druge krajnje točke. U slučaju kada napadač može slati pakete koristeći žrtvinu IP-adresu kao izvorišnu adresu te može primati podatke koristeći žrtvinu adresu kao odredišnu adresu, tada napadač može ponovno pokrenuti uspostavu veze s poslužiteljem. Ako žrtva ne vodi računa o „restart“ obavijestima, tada je napadač preuzeo kontrolu nad vezom žrtve i poslužitelja.
  
 ==Detalji napada== ==Detalji napada==
 Pretpostavimo da je krajnja točka K1, koja ima IP-adresu A1, povezana pomoću STCP-a sa drugom krajnjom točkom K2. Nakon što napadačko računalo stekne mogućnosti da šalje i prima pakete koristeći IP-adresu A1, tada napadač može pokrenuti novu uspostavljanje veze s krajnjom točkom K2 koristeći proces uspostave veze u 4 koraka preko IP-adrese A1 i „port“ broja korištenog od strane K1. Pretpostavimo da je krajnja točka K1, koja ima IP-adresu A1, povezana pomoću STCP-a sa drugom krajnjom točkom K2. Nakon što napadačko računalo stekne mogućnosti da šalje i prima pakete koristeći IP-adresu A1, tada napadač može pokrenuti novu uspostavljanje veze s krajnjom točkom K2 koristeći proces uspostave veze u 4 koraka preko IP-adrese A1 i „port“ broja korištenog od strane K1.
 +
 Ako korisnik računala K2 nije obradio obavijest o ponovnom pokretanju veze, tada korisnik tog računala niti ne može znati da je došlo do ponovnog pokretanja veze. U tom slučaju možemo reći da je došlo do krađe veze. Ako korisnik računala K2 nije obradio obavijest o ponovnom pokretanju veze, tada korisnik tog računala niti ne može znati da je došlo do ponovnog pokretanja veze. U tom slučaju možemo reći da je došlo do krađe veze.
 Bitno je uočiti da ranjivost kod ovog napada nije utemeljena kod neke slabosti SCTP-a, već je u potpunosti riječ o neobazrivosti korisnika višeg sloja. Ovaj napad nije moguć čim korisnik omogući obradu obavijesti o ponovnom pokretanju. Bitno je uočiti da ranjivost kod ovog napada nije utemeljena kod neke slabosti SCTP-a, već je u potpunosti riječ o neobazrivosti korisnika višeg sloja. Ovaj napad nije moguć čim korisnik omogući obradu obavijesti o ponovnom pokretanju.
Redak 100: Redak 101:
 „Bombing“ napad se ostvaruje tako da računalo napadač uspostavi vezu s nekim drugim računalom pri kojem će uz vlastitu IP-adresu navesti i IP-adresu žrtvinog računala unutar INIT liste prilikom prvog koraka uspostave veze.  „Bombing“ napad se ostvaruje tako da računalo napadač uspostavi vezu s nekim drugim računalom pri kojem će uz vlastitu IP-adresu navesti i IP-adresu žrtvinog računala unutar INIT liste prilikom prvog koraka uspostave veze. 
 Nakon što je veza uspostavljena, napadač će poslužitelju poslati zahtjev za velikom količinom podataka koje mu poslužitelj treba poslati. Nakon što je poslao zahtjev, napadač neće potvrđivati pakete koji će pristizati na njegovu IP-adresu. Zbog toga će poslužitelj početi isporučivati podatke na alternativne IP-adrese navedene prilikom uspostave veze, a to je, u ovom slučaju, IP-adresa računala žrtve. Nakon što je veza uspostavljena, napadač će poslužitelju poslati zahtjev za velikom količinom podataka koje mu poslužitelj treba poslati. Nakon što je poslao zahtjev, napadač neće potvrđivati pakete koji će pristizati na njegovu IP-adresu. Zbog toga će poslužitelj početi isporučivati podatke na alternativne IP-adrese navedene prilikom uspostave veze, a to je, u ovom slučaju, IP-adresa računala žrtve.
 +
 Nakon što je napadač čekao točno određeno vrijeme, poslat će poslužitelju potvrdu da je zaprimio podatke koji su slani na računalo žrtve. Nakon određenog trenutka, napadačeva će se IP-adresa početi smatrati nedostupnom od strane poslužitelja, budući da će dobivati potvrde samo za podatke koje će slati na IP-adresu žrtve. Nakon što je napadač čekao točno određeno vrijeme, poslat će poslužitelju potvrdu da je zaprimio podatke koji su slani na računalo žrtve. Nakon određenog trenutka, napadačeva će se IP-adresa početi smatrati nedostupnom od strane poslužitelja, budući da će dobivati potvrde samo za podatke koje će slati na IP-adresu žrtve.
 Nakon što se navedeni scenarij ostvari, računalo napadač može početi slati strateške poruke potvrđivanja kako bi poslužitelj nastavio sa isporukom podataka računalu žrtvi. Nakon što se navedeni scenarij ostvari, računalo napadač može početi slati strateške poruke potvrđivanja kako bi poslužitelj nastavio sa isporukom podataka računalu žrtvi.
 +
 Moguće je postaviti koristi i ADD-IP proširenje kako bi se i ranije žrtvina IP-adresa postavila kao primarni put za isporuku podataka. Moguće je postaviti koristi i ADD-IP proširenje kako bi se i ranije žrtvina IP-adresa postavila kao primarni put za isporuku podataka.
 +
 Bitno je uočiti da ovaj napad radi samo ako računalo žrtve nema ostvarenu podršku za SCTP, inače bi ono moglo odgovoriti poslužitelju porukom „out of the blue“(OOTB)  kako bi ga obavijestilo da treba prestati s isporukom podataka. Bitno je uočiti da ovaj napad radi samo ako računalo žrtve nema ostvarenu podršku za SCTP, inače bi ono moglo odgovoriti poslužitelju porukom „out of the blue“(OOTB)  kako bi ga obavijestilo da treba prestati s isporukom podataka.
 +
 Napada treba biti precizan u slanju potvrdi kako bi osigurao da će se njegova IP-adresa početi smatrati nedostupnom.  Napada treba biti precizan u slanju potvrdi kako bi osigurao da će se njegova IP-adresa početi smatrati nedostupnom. 
  
 +==== Preusmjeravanje veze====
 +Preusmjeravanje veze je napad je koji omogućuje nekom korisniku da neispravno postavi veza s krajnjom točkom i usmjeri ju na neku drugu adresu. 
 +==Detalji napada==
 +Ovaj napad radi tako da napadač pošalje INIT zahtjev s izvorišnim „port“ brojem X i usmjeri ga ne „port“ broj Y. Po primitku INIT-ACK odgovora, napadač šalje COOKIE-ECHO poruku i postavlja drugu odredišnu IP-adresu ili „port“ broj, čime se omogućuje povezivanja s neispravnim krajnjim točkama.
 +
 +Napad ovisi o neispravnosti SCTP implementacije da sprema i provjerava IP-adrese i „port“ brojeve unutar strukture kolačića.
 +
 +Od napada se lako brani tako se unutar kolačića spremaju IP-adrese i „port“ brojevi odredišta i izvorišta. Pa ako izvorište i odredište ne odgovaraju onima u kolačiću implementacija može jednostavno odbaciti zahtjev s neispravnim kolačićem.
  
 ===== Zaključak ===== ===== Zaključak =====
racfor_wiki/stream_control_transmission_protocol.1610831222.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0