Атаки с повторениемReplay Attacks

Объект атака воспроизведения возникает, когда злоумышленник копирует поток сообщений между двумя сторонами и воспроизводит его для одного или нескольких сторон.A replay attack occurs when an attacker copies a stream of messages between two parties and replays the stream to one or more of the parties. Если не приняты ответные меры, атакованные компьютеры обрабатывают этот поток как допустимые сообщения, что приводит к ряду негативных последствий, таких как повторные заказы одного элемента.Unless mitigated, the computers subject to the attack process the stream as legitimate messages, resulting in a range of bad consequences, such as redundant orders of an item.

Привязки могут подвергаться атакам отраженияBindings May Be Subject to Reflection Attacks

Атаки отражения представляют собой воспроизведение сообщений обратно отправителю так, как если бы они поступили получателя как ответ.Reflection attacks are replays of messages back to a sender as if they came from the receiver as the reply. Стандартный обнаружения воспроизведения в Windows Communication Foundation (WCF) механизм не обрабатывает такие атаки автоматически.The standard replay detection in the Windows Communication Foundation (WCF) mechanism does not automatically handle this.

Атаки отражения предотвращаются по умолчанию, так как модель службы WCF добавляет идентификатор подписанного сообщения для сообщения запроса и ожидает, что подписанный relates-to заголовка в сообщениях ответов.Reflection attacks are mitigated by default because the WCF service model adds a signed message ID to request messages and expects a signed relates-to header on response messages. В результате сообщение запроса не может быть воспроизведено в качестве ответа.Consequently, the request message cannot be replayed as a response. В сценариях защищенного надежного обмена сообщениями (RM) для предотвращения атак отражения принимаются следующие меры.In secure reliable message (RM) scenarios, reflection attacks are mitigated because:

  • Схемы сообщения о создании последовательности и ответного сообщения о создании последовательности должны быть различными.The create sequence and create sequence response message schemas are different.

  • В симплексных последовательностях сообщения о последовательности, отправляемые клиентом, не могут быть воспроизведены обратно клиенту, поскольку клиент не распознает такие сообщения.For simplex sequences, sequence messages the client sends cannot be replayed back to it because the client cannot understand such messages.

  • В дуплексных последовательностях два идентификатора последовательности должны быть уникальными.For duplex sequences, the two sequence IDs must be unique. Таким образом, исходящее сообщение последовательности не может быть воспроизведено в качестве входящего сообщения последовательности (все заголовки последовательности и тела сообщений также являются подписанными).Thus, an outgoing sequence message cannot be replayed back as an incoming sequence message (all sequence headers and bodies are signed, too).

Единственным типом привязок, чувствительных к атакам отражения, являются специальные привязки, в которых отключен протокол WS-Addressing и в которых используется защита на основе симметричного ключа.The only bindings that are susceptible to reflection attacks are those without WS-Addressing: custom bindings that have WS-Addressing disabled and use the symmetric key-based security. В привязке BasicHttpBinding по умолчанию не используется протокол WS-Addressing, однако защита на основе симметричных ключей используется таким образом, что привязка не является уязвимой для атаки такого типа.The BasicHttpBinding does not use WS-Addressing by default, but it does not use symmetric key-based security in a way that allows it to be vulnerable to this attack.

Для устранения рисков специальных привязок следует не устанавливать контекст безопасности или требовать использования заголовков WS-Addressing.The mitigation for custom bindings is to not establish security context or to require WS-Addressing headers.

Веб-фермы: Злоумышленник воспроизводит запрос к нескольким узламWeb Farm: Attacker Replays Request to Multiple Nodes

Клиент использует службу, которая реализована на веб-ферме.A client uses a service that is implemented on a Web farm. Злоумышленник воспроизводит запрос, отправленный на один узел фермы, на другом узле фермы.An attacker replays a request that was sent to one node in the farm to another node in the farm. Кроме того, в случае перезапуска службы кэш воспроизведения очищается, что позволяет злоумышленнику воспроизвести запрос.In addition, if a service is restarted, the replay cache is flushed, allowing an attacker to replay the request. (В кэше содержатся использованные ранее значения подписи сообщения. Кэш не позволяет воспроизводить их, так что такие подписи могут использоваться только один раз.(The cache contains used, previously seen message signature values and prevents replays so those signatures can be used only once. Кэш воспроизведения не является общим в масштабах веб-фермы.)Replay caches are not shared across a Web farm.)

Возможные способы устранения рисковMitigations include:

См. такжеSee also