Атака сброса TCP , также известная как поддельный сброс TCP или поддельный сброс TCP , — это способ разорвать соединение TCP путем отправки поддельного пакета сброса TCP. Этот метод подделки может использоваться брандмауэром или злоумышленником для прерывания интернет-соединений.
Известно, что Великий китайский файрвол и иранские интернет-цензоры используют атаки сброса TCP для вмешательства в соединения и их блокировки в качестве основного метода осуществления интернет-цензуры. [1]
Интернет — это система, с помощью которой отдельные компьютеры обмениваются электронными сообщениями или пакетами данных. Эта система включает в себя оборудование для передачи сообщений (например, медные и оптоволоконные кабели) и формализованную систему форматирования сообщений, называемую «протоколами». Основным протоколом, используемым в Интернете, является Интернет-протокол (IP), который обычно сочетается с дополнительными протоколами, такими как TCP ( Transmission Control Protocol [2] ) или UDP ( User Datagram Protocol ). TCP/IP — это набор протоколов, используемых для электронной почты и просмотра веб-страниц. Каждый протокол имеет блок информации, называемый заголовком, включенный в начало каждого пакета. Заголовки содержат информацию о том, какой компьютер отправил пакет, какой компьютер должен его получить, размер пакета и т. д.
TCP обычно используется вместе с IP (Internet Protocol) для установления двустороннего виртуального соединения между двумя компьютерами. Как протокол, ориентированный на соединение, TCP требует установления логического соединения между двумя процессами до обмена данными. Это контрастирует с UDP, который является протоколом без соединения в пределах пакета IP. Сокеты TCP/IP облегчают связь между компьютерами, например, между рабочей станцией с браузером и веб-сервером, посредством обмена потоком пакетов данных. Использование соединения TCP позволяет передавать большие элементы данных, которые превышают ограничения по размеру одного пакета, включая видеоклипы, вложения электронной почты или музыкальные файлы. Хотя некоторые веб-страницы достаточно малы, чтобы поместиться в один пакет, они обычно передаются по соединениям TCP для повышения надежности и контроля ошибок.
В потоке пакетов TCP-соединения каждый пакет содержит заголовок TCP. Каждый из этих заголовков содержит бит, известный как флаг «сброса» (RST). [3] В большинстве пакетов этот бит установлен в 0 и не имеет никакого эффекта. Однако, если этот бит установлен в 1, это указывает принимающему компьютеру, что компьютер должен немедленно прекратить использование TCP-соединения; он не должен отправлять больше пакетов, используя идентификационные номера соединения, называемые портами, и отбрасывать любые дальнейшие пакеты, которые он получает с заголовками, указывающими, что они принадлежат этому соединению. Сброс TCP разрывает TCP-соединение практически мгновенно.
Этот инструмент выполняет определенную функцию в области компьютерных сетей, в частности, при управлении TCP-соединениями. Известный случай использования возникает, когда компьютер, называемый «Компьютер A», сталкивается с системным сбоем во время активного TCP-соединения. Следовательно, соответствующий компьютер на другом конце соединения, обозначенный как «Компьютер B», остается в неведении о сбое и продолжает передавать TCP-пакеты. После перезагрузки Компьютер A получает эти остаточные пакеты из прерванного соединения. Однако, не имея исходного контекста и не имея возможности обработать их должным образом, Компьютер A обычно отправляет сигнал сброса TCP на Компьютер B. Этот сброс информирует Компьютер B о сбое соединения, побуждая пользователя на Компьютере B либо попытаться восстановить соединение, либо предпринять альтернативные действия по мере необходимости.
В приведенном выше сценарии бит сброса TCP был отправлен компьютером, который был одной из конечных точек соединения. Третий компьютер может отслеживать пакеты TCP в соединении, а затем отправлять «поддельный» пакет, содержащий сброс TCP, на одну или обе конечные точки. Заголовки в поддельном пакете должны ложно указывать, что он пришел с конечной точки, а не от фальсификатора. Эта информация включает IP-адреса и номера портов конечной точки. Каждое поле в заголовках IP и TCP должно быть установлено на убедительное поддельное значение для поддельного сброса, чтобы обмануть конечную точку и закрыть соединение TCP. Правильно отформатированные поддельные сбросы TCP могут быть очень эффективным способом нарушить любое соединение TCP, которое может отслеживать фальсификатор.
Одним из применений поддельного сброса TCP является злонамеренное прерывание TCP-соединений без согласия двух сторон, владеющих конечными точками. Однако также были разработаны системы сетевой безопасности, использующие поддельные сбросы TCP. В 1995 году был продемонстрирован прототип программного пакета «Buster», который отправлял поддельные сбросы на любое TCP-соединение, использующее номера портов из короткого списка. Добровольцы Linux предложили сделать что-то подобное с брандмауэрами Linux в 2000 году [3] , а программное обеспечение с открытым исходным кодом, такое как Snort, использовало сбросы TCP для прерывания подозрительных соединений еще в 2003 году. [4]
К концу 2007 года Comcast начала использовать поддельные сбросы TCP для парализации работы одноранговых сетей и некоторых приложений группового ПО на компьютерах своих клиентов. [5] Это вызвало споры, за которыми последовало создание Network Neutrality Squad (NNSquad) Лореном Вайнштейном , Винтом Серфом , Дэвидом Фарбером , Крейгом Ньюмарком и другими известными основателями и поборниками открытости в Интернете. [6] В 2008 году NNSquad выпустила NNSquad Network Measurement Agent, программу для Windows, написанную Джоном Бартасом, которая могла обнаруживать поддельные сбросы TCP Comcast и отличать их от настоящих сбросов, сгенерированных конечными точками. Технология обнаружения сбросов была разработана на основе более раннего программного обеспечения с открытым исходным кодом «Buster», которое использовало поддельные сбросы для блокировки вредоносных программ и рекламы на веб-страницах.
В январе 2008 года Федеральная комиссия по связи США (FCC) объявила, что будет расследовать использование Comcast поддельных сбросов, а 21 августа 2008 года она приказала Comcast прекратить эту практику. [7]
Шифруя соединения с использованием VPN , злоумышленник должен выполнить атаку сброса TCP на все зашифрованные соединения, что приведет к сопутствующему ущербу . [ необходима ссылка ]