Atacul de resetare TCP , „resetare TCP falsă”, „resetare TCP”, „ falsificarea pachetelor de resetare TCP ” este o modalitate de a manipula conexiunile la Internet . În unele cazuri, așa acționează atacatorii, în altele, utilizatorii legitimi.
Internetul, în esență, este un sistem de schimb de informații, grupate în pachete. Acest sistem constă din hardware de transmisie a datelor (cabluri de cupru și fibră optică) și o formă standardizată de reprezentare a informațiilor, adică protocoale. Protocolul principal al Internetului este IP în combinație cu protocoale suplimentare precum TCP și UDP [1] ). Web-ul și e-mailul folosesc stiva de protocoale TCP/IP . În conformitate cu acesta, la începutul fiecărui pachet există un antet cu informații despre serviciu despre expeditor, destinatar, dimensiunea pachetului etc.
Spre deosebire de alte protocoale (cum ar fi UDP), TCP implică stabilirea unei conexiuni între două computere. Software -ul de rețea , cum ar fi un browser și un server web , comunică sub formă de fluxuri de pachete. Datorită acestui fapt, pot trimite mai multe date decât pot încăpea într-un pachet, cum ar fi clipuri video, documente sau înregistrări audio. Deși unele pagini web sunt suficient de mici pentru a încăpea într-un singur pachet, sunt transmise și printr-o conexiune pentru comoditate.
Fiecare pachet TCP dintr-o conexiune poartă un antet. Fiecare dintre ele are un bit de resetare (RST) . Pentru majoritatea pachetelor, acest bit este setat la 0 și nu înseamnă nimic, dar dacă este setat la 1, înseamnă că destinatarul ar trebui să înceteze imediat utilizarea acestei conexiuni: nu trimiteți pachete cu identificatorul curent (pe portul curent) și ignora, de asemenea, toate pachetele ulterioare această conexiune (conform informațiilor din anteturile lor). În esență, o resetare TCP termină imediat conexiunea.
Când este utilizată corect, o astfel de resetare este un mecanism util. Această metodă este utilizată atunci când un computer (condițional A) eșuează în timpul transferului de date prin TCP. Al doilea computer (condiționat B) va continua să trimită pachete TCP, pentru că nu știe despre defecțiunea pe A. După repornire, A va continua să primească pachete de la vechea conexiune, dar, neavând date de conexiune, nu va mai știi ce să faci cu ei. În acest caz, va trimite o solicitare de resetare TCP către computerul B, spunând că conexiunea este întreruptă. Utilizatorul computerului B poate stabili o nouă conexiune sau poate întreprinde alte acțiuni.
În cazul de mai sus, mesajul de resetare a fost trimis de unul dintre participanții la conexiune. Un al treilea computer ar putea adulmeca pachetele TCP de pe acea conexiune și apoi ar putea falsifica un pachet cu steag-ul de resetare și îl poate trimite uneia sau ambelor părți în numele celeilalte. Informațiile din anteturi ar trebui să indice că pachetul ar fi fost primit de cealaltă parte și nu de la atacator. Astfel de informații includ adrese IP și numere de porturi și ar trebui să conțină suficiente date plauzibile pentru a forța participanții să încheie conexiunea. Pachetele falsificate bine formate pot fi o modalitate foarte fiabilă de a întrerupe orice conexiune TCP pe care un atacator o poate iscusi.
O utilizare evidentă a metodei de resetare TCP este ca un atacator să întrerupă în secret comunicațiile dintre părți. Pe de altă parte, sunt cunoscute sistemele de securitate a rețelei care utilizează o astfel de metodă. Un prototip al programului „Buster” a fost demonstrat în 1995 și putea trimite pachete de resetare false la orice conexiune folosind o listă dată de porturi. Dezvoltatorii Linux au propus capabilități similare pentru firewall -urile bazate pe Linux în 2000 [2] , iar software- ul gratuit Snort a folosit resetări TCP pentru a opri conexiunile suspecte încă din 2003 [3]
La sfârșitul anului 2007, Comcast a început să folosească falsificarea TCP pentru a perturba programele P2P și groupware pentru clienții săi. [4] . Acest lucru a stârnit o controversă care a dus la crearea Grupului de neutralitate a rețelei (NNSquad) format din Lauren Weinstein , Vint Cerf , David Farber , Craig Newmark și alți activiști pentru deschiderea internetului. [5] În 2008, NNSquad a lansat NNSquad Network Measurement Agent pentru Windows (autorul lui John Bartas ), care a identificat pachetele false de la Comcast și le-a diferențiat de picăturile reale. Este de remarcat faptul că algoritmul de detectare a dump-ului a fost dezvoltat pe baza programului deschis existent „Buster”, creat pentru a combate obiectele rău intenționate și reclamele de pe paginile web.
În ianuarie 2008, FCC a anunțat că investighează falsificarea Comcast și pe 21 august 2008 le-a ordonat să oprească practica.
Unii reprezentanți ISP consideră că cuvântul „fals” este inadecvat în raport cu resetările TCP. De asemenea, au susținut că a fost o modalitate legitimă de a reduce traficul în rețea . [6]