TCP Reset attack , "falsk TCP reset", "TCP resets", " TCP reset packet spoofing " är ett sätt att manipulera Internetanslutningar . I vissa fall är det så här angripare agerar, i andra legitima användare.
Internet är i huvudsak ett system för utbyte av information, grupperat i paket. Detta system består av dataöverföringshårdvara (koppar- och fiberoptiska kablar) och en standardiserad form av informationsrepresentation, det vill säga protokoll. Huvudprotokollet för Internet är IP i kombination med ytterligare protokoll som TCP och UDP [1] ). Webben och e-post använder TCP/IP- protokollstacken . I enlighet med den finns det i början av varje paket en rubrik med tjänsteinformation om avsändare, mottagare, paketstorlek etc.
Till skillnad från andra protokoll (som UDP) innebär TCP att upprätta en anslutning mellan två datorer. Nätverksprogramvara , såsom en webbläsare och en webbserver , kommunicerar i form av paketströmmar. På grund av detta kan de skicka mer data än vad som ryms i ett paket, såsom videoklipp, dokument eller ljudinspelningar. Även om vissa webbsidor är tillräckligt små för att få plats i ett paket, sänds de också över en anslutning för bekvämlighet.
Varje TCP-paket i en anslutning har en rubrik. Var och en av dem har en återställningsflagga (RST) bit. För de flesta paket är denna bit satt till 0 och betyder ingenting, men om den är satt till 1 betyder det att mottagaren omedelbart ska sluta använda denna anslutning: skicka inte paket med den aktuella identifieraren (på den aktuella porten), och ignorera också alla efterföljande paket denna anslutning (enligt informationen i deras rubriker). I huvudsak avslutar en TCP-återställning omedelbart anslutningen.
När den används på rätt sätt är en sådan återställning en användbar mekanism. Denna metod används när en dator (villkorligt A) misslyckas under dataöverföring via TCP. Den andra datorn (villkorligt B) kommer att fortsätta att skicka TCP-paket, eftersom den inte känner till felet på A. Efter omstarten kommer A att fortsätta att ta emot paket från den gamla anslutningen, men kommer inte längre att ha några anslutningsdata vet vad man ska göra med dem. I det här fallet kommer den att skicka en TCP-återställningsbegäran till dator B och säga att anslutningen är nere. Användaren av dator B kan upprätta en ny anslutning eller vidta andra åtgärder.
I ovanstående fall skickades återställningsmeddelandet av en av deltagarna i anslutningen. En tredje dator kan sniffa TCP-paketen på den anslutningen och sedan förfalska ett paket med återställningsflaggan och skicka det till den ena eller båda parterna på den andras vägnar. Informationen i rubrikerna bör indikera att paketet ska ha tagits emot från andra sidan och inte från angriparen. Sådan information inkluderar IP-adresser och portnummer och bör innehålla tillräckligt med rimliga data för att tvinga deltagare att avsluta anslutningen. Välformade falska paket kan vara ett mycket tillförlitligt sätt att bryta alla TCP-anslutningar som en angripare kan snoka efter.
En uppenbar användning av TCP-återställningsmetoden är för en angripare att i smyg störa kommunikationen mellan parter. Å andra sidan är nätverkssäkerhetssystem som använder en sådan metod kända. En prototyp av programmet "Buster" demonstrerades 1995 och kunde skicka falska återställningspaket till vilken anslutning som helst med hjälp av en given lista med portar. Linux-utvecklare föreslog liknande möjligheter för Linux-baserade brandväggar 2000 [2] , och den fria mjukvaran Snort använde TCP-återställningar för att avsluta misstänkta anslutningar så tidigt som 2003 [3]
I slutet av 2007 började Comcast använda TCP-spoofing för att störa P2P- och gruppprogram för sina kunder. [4] . Detta utlöste en kontrovers som resulterade i skapandet av Net Neutrality Group (NNSquad) bestående av Lauren Weinstein , Vint Cerf , David Farber , Craig Newmark och andra aktivister för Internets öppenhet. [5] 2008 släppte NNSquad NNSquad Network Measurement Agent för Windows (författad av John Bartas ), som identifierade falska paket från Comcast och särskiljde dem från riktiga droppar. Det är anmärkningsvärt att dumpningsdetekteringsalgoritmen utvecklades på grundval av det befintliga öppna programmet "Buster", skapat för att bekämpa skadliga objekt och annonser på webbsidor.
I januari 2008 meddelade FCC att de undersökte Comcasts förfalskning och den 21 augusti 2008 beordrade dem att stoppa bruket.
Vissa ISP-representanter anser att ordet "falsk" är olämpligt i förhållande till TCP-återställningar. De hävdade också att det var ett legitimt sätt att minska nätverkstrafiken . [6]