重放攻擊
入侵者從網絡上截取主機A發送給主機B的報文,並把由A加密的報文發送給B,使主機B誤以為入侵者就是主機A,然后主機B向偽裝成A的入侵者發送應當發送給A的報文。
防御手段
防止重放攻擊的方法是使用不重數
1. 加隨機數
該方法優點是認證雙方不需要時間同步,雙方記住使用過的隨機數,如發現報文中有以前使用過的隨機數,就認為是重放攻擊。缺點是需要額外保存使用過的隨機數,若記錄的時間段較長,則保存和查詢的開銷較大。
2. 加時間戳
該方法優點是不用額外保存其他信息。缺點是認證雙方需要准確的時間同步,同步越好,受攻擊的可能性就越小。但當系統很龐大,跨越的區域較廣時,要做到精確的時間同步並不是很容易。
3. 加流水號
就是雙方在報文中添加一個逐步遞增的整數,只要接收到一個不連續的流水號報文(太大或太小),就認定有重放威脅。該方法優點是不需要時間同步,保存的信息量比隨機數方式小。缺點是一旦攻擊者對報文解密成功,就可以獲得流水號,從而每次將流水號遞增欺騙認證端。
在實際中,常將方法(1)和方法(2)組合使用,這樣就只需保存某個很短時間段內的所有隨機數,而且時間戳的同步也不需要太精確。
對付重放攻擊除了使用本以上方法外,還可以使用挑戰一應答機制和一次性口令機制,而且似乎后面兩種方法在實際中使用得更廣泛。