On Fri, May 05, 2000 at 10:45:33AM -0400, Randy Janinda wrote:

> Well here's a thought...

> 

> You can't sniff the connection between FE1 and BoxA so if BoxA sends the *extra*

> information to FE2, wouldn't you be that much closer to a session highjack? (I'm

> still learning so flames > /dev/null)

The information may move you closer, but it still seems like a long way yet to 

go before you succeed.  For starters, you'll need a pair of IP addresses and a 

pair of port numbers.  Granted, you know the IP of BoxA (although if BoxA has 

several IPs, you may not know the one that relates to the connection you're 

trying to highjack), and you might have a good shot at guessing one of the port 

numbers (if, for instance, the primary function of BoxA was a web server, then 

you could guess port 80 on that end).  

But even with both IPs and both port numbers, you still have a routing problem.  

Box FE2 can masquerade as FE1 and send packets to BoxA, but BoxA is not likely 

to send packets back in the direction of FE2 if they are addressed to FE1.

Nonetheless, lets say you succeed in all of the above.  At this point there is 

no particular benefit in your knowledge of an ACK #.  Simply make up your own 

ACK # and SEQ # and fire it off.  The protocol says that if an unacceptable 

segment (e.g., bad SEQ # or bad ACK #) arrives for a connection that is in the 

established state, then the host must keep the connection alive and respond 

with an empty acknowledgement segment containing the current SEQ and ACK # 

which the host is using for the connection. 

--Joe 


--
To unsubscribe: mail ">majordomo@ale.org with "unsubscribe ale" in message body.