Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
UDP, спуффинг и онлайн-игры
Праздники. Поэтому предположим, что есть некая популярная онлайн-игра (MMOG). Есть сервер, есть клиент на пользовательской машине. Игровой трафик ходит по UDP. При этом, приоритет разработчиков – экономия трафика, иначе падают прибыли, дорожает инфраструктура. UDP весьма примитивный протокол, не гарантирующий, например, доставку пакетов. (Как говорится: я знаю хорошую шутку про UDP, но, возможно, она до вас не дойдёт.) Также UDP позволяет подменять адрес отправителя – это так называемый UDP-спуффинг. Самые распространённые атаки, использующие подмену “обратных адресов” в UDP, являются DDoS-атаками и касаются DNS, так как для этой системы UDP служит стандартным базовым транспортом. Но речь о другом, вернёмся к онлайн-игре.
Допустим, в игре проводится только односторонняя аутентификация: клиент аутентифицируется сервером, но не наоборот. И есть, скажем, простой механизм смены IP-адреса сервера в ходе работы игры, реализованный отправкой пары управляющих команд клиенту. Тогда некий активный злоумышленник может наугад заливать потенциальных играющих клиентов левыми UDP-пакетами, пытаясь вынудить клиента выполнить смену сервера. Если клиентов в игре много, а протокол, ввиду экономии, не защищён, то есть большие шансы на успех. В качестве нового сервера, понятно, выступает узел, контролируемый злоумышленниками, который перехватывает соединение и, запросив авторизацию, крадёт/меняет пароль от игрового аккаунта (если позволяет протокол).
И это не единственный сценарий атаки, который позволяет построить протокол UDP.
()
Похожие записки:
- Удостоверяющий центр TLS ТЦИ
- Обновление темы dxdt.ru
- Браузеры и перехват TLS без участия УЦ
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Техническое: связь SCT-меток с логами Certificate Transparency
- Десятилетие DNSSEC в российских доменах
- Техническое описание TLS: обновление 2022
- "Пасхалки" в трафике
- Про цепочки, RSA и ECDSA
- HTTPS-запись в DNS для dxdt.ru
- Ретроспектива заметок: деанонимизация по географии
- DNS как транспорт для сигналов и данных
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- TLS-сертификаты dxdt.ru
- Сорок лет Интернету
- Пресертификаты в Certificate Transparency
1 комментарий от читателей
1. 3rd May 2013, 22:08 // Читатель Jeff Zanooda написал:
Специально для решения этой проблемы придумали MAC (message authentication codes).