📑 Table of Contents
Disambiguazione – Se stai cercando l'attacco di tipo "denial of service", vedi Distributed Reflection Denial of Service.

Il reflection attack è un tipo di attacco informatico volto a colpire sistemi di autenticazione di tipo challenge-response, che usano lo stesso protocollo di comunicazione in entrambe le direzioni (ovvero, ciascuna parte utilizza lo stesso protocollo per autenticarsi con l'altra parte). L'idea alla base di questo tipo di attacco è di imbrogliare la vittima chiedendogli una soluzione (response) alla sua stessa sfida (challenge).[1]

Attacco

modifica

In linea di massima, l'attacco è condotto come segue:

  1. L'attaccante inizia la connessione con la vittima.
  2. La vittima chiede all'attaccante di autenticarsi, inviandogli una sfida (challenge).
  3. L'attaccante inizia una seconda connessione con la vittima chiedendogli di identificarsi tramite la stessa challenge.
  4. La vittima risponde alla sfida con la risposta corretta.
  5. L'attaccante invia il response corretto nella prima connessione.

Se il protocollo di autenticazione non è progettato attentamente, la vittima che riceve la risposta la accetterà in quanto corretta e lascerà all'attaccante un canale di connessione autenticato (mentre il secondo canale verrà abbandonato).

Contromisure

modifica

La contromisura più comune a questo tipo di attacco è la seguente: la vittima inserisce il suo codice di identificazione nel response alla challenge. In questo modo, se a sua volta riceve un response contenente il suo ID, può semplicemente scartarlo.[2]

  1. Alice inizia la connessione con Bob
  2. Bob sfida Alice inviandogli un nonce.
  3. Alice risponde inviando il suo identificatore e il nonce crittati usando la chiave comune .
  4. Bob decifra il messaggi, controllando che provenga da Alice e non da lui stesso assicurandosi che contenga l'identificatore e non . Se il nonce è quello inviato da lui, accetta il messaggio.

Un'altra possibile soluzione è usare protocolli (o chiavi crittografiche) differenti per le due direzioni di autenticazione.

Note

modifica
  1. ^ (EN) Andrew S. Tanenbaum, Computer Networks, 4ª ed., 2002, pp. 787-790, ISBN 0-13-038488-7.
  2. ^ (EN) Ross J. Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems, 1ª ed., 2001, pp. 20–22, ISBN 0-471-38922-6.

Voci correlate

modifica
  Portale Sicurezza informatica

📚 Artikel Terkait di Wikipedia

Ping

disconnessione della vittima da Internet (questo attacco è un tipo di reflection attack). Un tipico esempio di questo attacco era lo smurf. In seguito al

Cloudflare

inoltre assorbito degli attacchi con picchi di oltre 400 Gbit/s da un reflection attack NTP. Cloudflare consente ai clienti con pacchetti ad abbonamento di

UDP flood

informatica Denial of Service reflection attack spoofing (EN) CERT Advisory CA-1996-01 UDP Port Denial-of-Service Attack, su cert.org. Portale Sicurezza

Hooverphonic

nelle classifiche italiane. Nel 2013 pubblicano il loro ottavo album, Reflection, accompagnato dal singolo Amalfi. Il 26 marzo 2015 gli Hooverphonic annunciano

Inertia Creeps

Inertia Creeps è un singolo del gruppo musicale britannico Massive Attack, pubblicato il 21 settembre 1998 come quarto estratto dal terzo album in studio

Talib Kweli

Re:Union (con Hi-Tek come Reflection Eternal) 2010 - Early Mourning Signs 2011 - We Run This Vol. 7 (con Mr. E) 2012 - Attack the Block 2014 - Javotti

Denial of service

tecnici informatici. Una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso

Singles 90/98

Singles 90/98 è la prima raccolta del gruppo musicale britannico Massive Attack, pubblicata il 7 dicembre 1998 dalla Virgin Records. Si tratta di un cofanetto