|
重放攻击以及抗重放
重放攻击
重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
1、入侵者从网络上截取主机A to 主机B的报文
2、入侵者将A加密的报文发送给B
3、主机B误认为主机A=入侵者,主机B向入侵者发送应当发送给A的报文
重放攻击的类型
1.根据消息的来源:
协议轮内攻击:一个协议轮内消息重放
协议轮外攻击:一个协议不同轮次消息重放
2.根据消息的去向:
偏转攻击:改变消息的去向
直接攻击:将消息发送给意定接收方
其中偏转攻击分为:
反射攻击:将消息返回给发送者
第三方攻击:将消息发给协议合法通信双方之外的任一方
抗重放
使用不重数
1、加随机数
一般随机数会用在MD5,HASH(数字签名)上,比如在对有效值进行MD5加密时添加随机数,如用户名为test,密码为test的MD5加密过程可能为MD5(“test”,“test”,随机数),这样在直接传输时不会暴露出随机值
2、加时间戳
“时戳”──代表当前时刻的数
基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳
原理──重放的时戳将相对远离当前时刻
时钟要求──通信各方的计算机时钟保持同步
处理方式──设置大小适当的时间窗(间隔),越大越能包容网络传输延时,越小越能防重放攻击
适用性──用于非连接性的对话 (在连接情形下双方时钟若偶然出现不同步,则正确的信息可能会被误判为重放信息而丢弃,而错误的重放信息可能会当作最新信息而接收)
3、加流水号(序列号)
通信双方通过消息中的序列号来判断消息的新鲜性
要求通信双方必须事先协商一个初始序列号,并协商递增方法
4、一次性口令机制
一次性口令认证 (OTP)系统是为bai了防止黑客通du过一次成功的口令窃取而zhi永久地获得系统访问权而设计的一种认dao证技术 .它规定用户每次注册时使不同的口令 ,限制了同一口令的生存周期。
在传统的口令认证机制中,用户的口令多数以明文形式在网上传输并且固定不变。这使得攻击者可以通过窃听得到这些可重用的口令达到入侵系统的目的。一次性口令系统允许用户每次登录时使用不同的口令,很好地防止了口令重用攻击,增强了系统的安全性。
5、挑战应答机制
“现时”──与当前事件有关的一次性随机数N(互不重复即可)
基本做法──期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数
原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
时钟要求──无
适用性──用于连接性的对话
|
