Розмір шрифта: 

У роботі розглянуто підхід до підвищення захищеності мережевої взаємодії на ранньому етапі встановлення TCP-з’єднання. Досліджено загрозу атак типу Man-on-the-side, за яких зловмисник, перебуваючи у позаканальній позиції, спостерігає за трафіком і намагається ін’єктувати підроблену відповідь раніше за легітимний сервер. Запропоновано механізм мульти-пакетної верифікації, у якому автентифікаційний токен фрагментується, обфускується та приховано передається у службових полях серії TCP SYN-пакетів. Сервер приймає рішення про легітимність сесії лише після отримання повної послідовності фрагментів і перевірки HMAC, що зменшує ризик успішної позаканальної ін’єкції.

IMPLEMENTATION OF A SECURE DATA TRANSMISSION PROTOCOL USING MULTI-PACKET VERIFICATION TO COUNTER MAN-ON-THE-SIDE ATTACKS

Abstract:

The paper considers an approach to increasing the security of network communication at the early stage of TCP connection establishment. The threat of Man-on-the-side attacks is investigated, where an adversary observes traffic from an out-of-band position and attempts to inject a forged response earlier than the legitimate server. A multi-packet verification mechanism is proposed, in which an authentication token is fragmented, obfuscated, and covertly transmitted in service fields of a series of TCP SYN packets. The server makes a decision on session legitimacy only after receiving the complete fragment sequence and verifying the HMAC value, which reduces the risk of successful out-of-band injection.

Man-on-the-side; мульти-пакетна верифікація; TCP/IP; Initial Sequence Number; HMAC; XOR-обфускація; мережева стеганографія; Zero Trust, Scapy; кібербезпека.