هجوم إعادة الإرسال

من ويكيبيديا، الموسوعة الحرة
اذهب إلى: تصفح، ‏ ابحث

هجوم إعادة الإرسال: هو هجوم على شبكة حاسوب الذي يتم فيه إعادة إرسال أو تأخير إرسال معلومات مفيدة بهدف الاحتيال، هذا يتم إما عن طريق المُنشئ أو عن طريق الخصم الذي يعترض المعلومات ويعيد إرسالها، محتمل أن يكون كجزء من هجوم تقمص شخصية المرسل (masquerade attack) عن طريق استبدال بعض الـ(bits) في حزمة بروتوكول الإنترنت، كهجوم تشفير عدد من الـ(bits) معاً (stream cipher attack).


مثال[عدل]

أليس تريد أن تثبت هويتها لبوب، بوب يطلب كلمة السر الخاصة بها كإثبات لهويتها، أليس تعطي كلمتها السر لبوب (ربما مع بعض التحويل باستخدام Hash function). إيف يقوم بالتنصت على هذا الاتصال بين بوب وأليس ويحتفظ بكلمة السر، بعد انتهاء هذا الاتصال يقوم إيف بالاتصال ببوب من موقعه وكأنه أليس وعندما تُتطلَب منه كلمة السر كإثبات هوية، ايف يرسل بكلمة السر الخاصة باليس، بوب يقبل القيام بالاتصال لأنه يعتقد انه على اتصال باليس.

طرق لمنع هجوم إعادة الإرسال[عدل]

طريقة لمنع هذا الهجوم يكون باستخدام رمز الجلسة (session token), بوب يرسل رمز يحتوي الوقت إلى أليس، أليس تستخدم هذا الرمز لتحويل رقم السر وتبعث النتيجة إلى بوب (بحساب دالة هاش خاص برمز الجلسة مُضاف لكلمة السر)، يقوم بوب بنفس الحسابات وإذا حصل على نفس قيمة أليس يكون الاتصال أمناً ولا دلائل على وجود هجوم إعادة الإرسال.

لو حصلت مالوري على هذه القيمة وحاولت أن تستخدمها بجلسة أخرى، بوب سيحصل على رمز جلسة جديد، عندما تقوم مالوري بإعادة الإرسال برمز الجلسة القديم سيكون مختلفاً عن قيمة بوب الجديدة فلا يتم الاتصال، بوب أيضاً يستطيع أن يرسل الرقم الخاص(Nonce) لكن يجب أن يحتوي على رمز تصديق الرسالة (Message Authentication Code MAC) الذي على أليس أن تقوم بفحصه.

ختم الوقت: هو طريقة أخرى لمنع هجوم إعادة الإرسال، التزامن يجب أن يكون متحققاً باستعمال بروتوكول آمن.

على سبيل المثال : بوب يقوم ببث الوقت حسب توقيته مع رمز تصديق الرسالة(MAC) في أوقات زمنية متكررة، عندما تريد أليس أن تبعث رسالة إلى بوب، تبعث له بأفضل تقدير للوقت حسب توقيته داخل رسالتها التي تكون مُصَدقة، بوب يقبل فقط الرسائل التي يكون ختم الوقت فيها ضمن حدود المعقول حسب توقيته، الميزة في هذا الأسلوب هو أن بوب لن يتوجب عليه أن يحصل على أو يحسب أرقام عشوائية (أو ما يظهر كالعشوائي).