SEQUESTRO TCP E ENVENENAMENTO DNS

O termo seqüestro de sessão se refere à capacidade de um atacante assumir o controle de parte de uma sessão (normalmente uma conversação de rede) e agir como um dos participantes. O seqüestro de sessão explora a fragilidade inerente na maioria dos tipos de rede e de protocolos não criptografados, principalmente os que transmitem as informações livremente. (RUSSEL, 2002).


Como isso pode ser possível:
Certamente os computadores iriam reparar que o invasor possui o endereço de IP incorreto. Este endereço é verificado quanto ao relacionamento de confiança quando a conexão está sendo estabelecida.
Pelo menos é verificando se o computador host está rodando software como TCP Wrappers (também disponível a partir do arquivo chamado “modo paranoide”).
Como uma conexão está sendo estabelecida, o computador compara o resultado da conferencia de nome de DNS com o resultado de um sistema sendo conectado sejam iguais, se não forem, impede a conexão.
O endereço de MAC não é examinado porque é o valor do último roteador e, se o MAC foi alterado durante a conexão, os computadores host não irão detectar este fato.
Se os endereços de MAC modificarem durante uma conexão TCP, isto pode ser um indicador de seqüestro de TCP, , porque o ataque pode estar vindo de uma direção nova e poderia ser detectado por sistemas de detectação de invasões.
Computadores que não são protegidos por modo paranoide fazendo tanto conferencia de DNS avançados como reservas ao estabelecer uma conexão são muitos vulneráveis a serem ignorados.
Agora, porque os computadores não percebem o motivo pelo qual o endereço de IP está sendo forjado durante a conexão?

A resposta é bem simples. O endereço da internet controla o numero da sequência. Se você enviar um pacote com o numero da sequência errado o outro lado irá enviar um RESET e romper a conexão.
Então o terminal “X” possui um numero de seqüência previsível.
Agora pode-se silenciar uma parte (servidor) e fazer com que a outra (terminal”X”) acredite que somos aquela parte (servidor).
Nós agora vemos um SYN forjado (solicitação de conexão), supostamente de serve.login para terminal “X” terminal-shell.
A suposição é de que o terminal “X”provavelmente confia no servidor, então fará o que este (ou algo mascarado como tal) pedir ao terminal “X” então lhe responderá SYN /ACK, que deve ser um ACK para que a conexão seja aberta. Como o servidor está ignorando pacotes enviados a Server.login o ACK também deve ser forjado.
Normalmente, numero de seqüência de SYN /ACK é exigida para gerar um ACK válido.
Entretanto, o invasor é capaz de prever o numero de seqüência contido em SYN /ACK baseado no comportamento conhecido de SYN /ACK sem vê-lo.
ENVENENAMENTO DE CACHE DNS
Imagens que mostras como acontece o envenenamento de cache DNS.

-http://i29.tinypic.com/2emk7ec
-http://i29.tinypic.com/2vb7tqb
-http://i25.tinypic.com/2hs1003
-http://i28.tinypic.com/n536lf
-http://i28.tinypic.com/2hzu3uv
-http://i31.tinypic.com/s3njhv
-fonte das imagens: G1