Về cơ bản có sự xuất hiện của các thông tin không riêng tƣ trong khóa đƣợc sử dụng ở bƣớc 8. Khóa đƣợc sử dụng, wp[2], đƣợc tìm thấy từ bộ ba thông tin sau: địa chỉ IP, timestamp, và passcode. Bất kì ai có thể kết nối đến máy để tấn công vào đều biết địa chỉ IP này. Timestamp thì khó hơn một chút, nhƣng Ace/Server sẽ gửi nó đến bất kỳ máy nào có thể gửi các gói UDP của nó. Nếu có đƣợc timestamp, thời gian có thể dễ dàng đoán đƣợc, đặc biệt nếu phía có sử dụng NTP hoặc một vài giao thức thiết lập thời gian khác mà có thể đƣa ra các giờ một cách đúng đắn. Kẻ tấn công có thể chọn đƣợc Passcode.
Do đó, khoá key có thể có tới 26 bít thông tin nếu thời gian đã đƣợc gắn liền với giây, nhƣng thời gian xuất hiện lại là phút. Do đó, gói thời gian đƣợc gửi tới bất kỳ ngƣời nào yêu cầu chúng, khóa key về cơ bản không có entropy thông tin. 1. Telnet đến máy đích
2. Nhập một username/passwork ăn trộm đƣợc 3. Gửi một yêu cầu thời gian đến Ace/Server 4. Tính toán wp[1] cho F2(IP(đích),T,123456) 5. Tìm cổng mà sdshell sẽ nghe
6. Gửi passcode 123456
7. Đóng gói và gửi DESwp[1] (cho phép truy cập) đến sdshell trên cổng mong muốn.
Trạng thái có thực của giao thức là một câu hỏi mở. Nếu có trạng thái có thể xác nhận đƣợc trong giao thức, và nếu nó đƣợc kiểm tra, sau đó tấn công chỉ có thể là có ích nếu kẻ tấn công đã sẵn sàng ở trên mạng cục bộ, bởi vì việc ăn trộm các gói tin nào đó có thể cần thiết để tìm ra các giá trị tƣơng ứng.
Do đó, bất kỳ kẻ tấn cống nào với truy cập UDP tới Ace/Client có thể gửi nó tới một gói UDP mà dễ dàng thuyết phục sdshell rằng chúng là hợp pháp, và hãy chấp nhận cho chúng vào. (Kẻ tấn công cũng cần định dạng của gói tin đƣợc cấp phép, hàm băm F2, cùng với tên đăng nhập và mật khẩu.)
Việc tính thời gian tấn công là khá dễ dàng. Trong đáp ứng cho một loạt các kiểu tấn công làm tê liệt hệ thống nhƣ race attack, SDTI đã thêm vào độ trễ trong tất cả các đáp ứng xác thực.
Hình 2.15. Giao thức Ace Client/Server bị tấn công
Các tấn công phòng thủ dựa trên việc tập trung theo dõi một ngƣời dùng hợp pháp đang đăng nhập, và quản lý các hành động của kẻ tấn công. Tại mỗi điểm cuối của chuỗi đăng nhập, kẻ tấn công cũng gửi trong ký tự nhập và nhanh hơn, hoặc gửi trong tất cả các ký số cuối cùng có thể để hoàn thành mã xác thực. Trong đáp ứng cho các tấn công, aceserver sẽ trễ từ 1 đến 15 giây trƣớc khi đáp ứng yêu cầu, và nếu nó nhiều yêu cầu cùng một lúc, nó sẽ huỷ tất cả. Tuy nhiên, độ trễ này hoạt động giống nhƣ một tấm chắn may mắn để giả mạo gói tin hợp pháp.
Có một khó khăn thực tế trong việc quyết định cổng nào mà sdshell sẽ gắn vào. Nếu tính an toàn cuối cùng dựa vào độ khó của việc tìm kiếm cổng, thì sau đó hệ thống có thể đƣợc cho là bảo mật thực sự qua tính khó hiểu. Đây thực sự là chính xác nếu kẻ tấn công là cục bộ và muốn mạo nhận một ngƣời ngƣời khác.
Nếu ngƣời dùng là cục bộ, họ chỉ cần chạy lệnh ‗netstat -a‘ để tìm ra sdshell nào đang nghe. Nếu là ngƣời dùng từ xa, thì cần một máy thăm dò mở rộng để tìm ra dãy cổng để tấn công.