TCP-nollaushyökkäys

TCP Reset -hyökkäys , "fake TCP reset", "TCP resets", " TCP Reset Packet Spoofing " on tapa manipuloida Internet - yhteyksiä. Joissakin tapauksissa hyökkääjät toimivat näin, toisissa lailliset käyttäjät.

Tekniset tiedot

Internet on pohjimmiltaan paketteihin ryhmitelty tiedonvaihtojärjestelmä. Tämä järjestelmä koostuu tiedonsiirtolaitteistosta (kupari- ja valokaapelit) ja standardoidusta tiedon esitysmuodosta eli protokollista. Internetin pääprotokolla on IP yhdistettynä lisäprotokolliin, kuten TCP ja UDP [1] ). Web ja sähköposti käyttävät TCP/IP - protokollapinoa . Sen mukaan jokaisen paketin alussa on otsikko, jossa on palvelutiedot lähettäjästä, vastaanottajasta, paketin koosta jne.

Toisin kuin muut protokollat ​​(kuten UDP), TCP sisältää yhteyden muodostamisen kahden tietokoneen välille. Verkkoohjelmistot , kuten selain ja verkkopalvelin , kommunikoivat pakettivirtojen muodossa. Tämän ansiosta he voivat lähettää enemmän dataa kuin yhteen pakettiin mahtuu, kuten videoleikkeitä, asiakirjoja tai äänitallenteita. Vaikka jotkut verkkosivut ovat tarpeeksi pieniä mahtuakseen yhteen pakettiin, ne välitetään myös yhteyden kautta mukavuuden vuoksi.

TCP nollaa

Jokainen yhteyden sisällä oleva TCP-paketti sisältää otsikon. Jokaisella niistä on nollauslipun (RST) bitti. Useimmissa paketeissa tämä bitti on 0, eikä se tarkoita mitään, mutta jos se on asetettu arvoon 1, se tarkoittaa, että vastaanottajan tulee välittömästi lopettaa tämän yhteyden käyttö: älä lähetä paketteja nykyisellä tunnisteella (nykyisessä portissa) ja ohittaa myös kaikki myöhemmät paketit tämän yhteyden (otsikoiden tietojen mukaan). Pohjimmiltaan TCP-nollaus katkaisee yhteyden välittömästi.

Oikein käytettynä tällainen nollaus on hyödyllinen mekanismi. Tätä menetelmää käytetään, kun yksi tietokone (ehdollisesti A) epäonnistuu tiedonsiirron aikana TCP:n kautta. Toinen tietokone (ehdollisesti B) jatkaa TCP-pakettien lähettämistä, koska se ei tiedä A:n virheestä. Uudelleenkäynnistyksen jälkeen A jatkaa pakettien vastaanottamista vanhasta yhteydestä, mutta ilman yhteystietoja ei enää tietää mitä tehdä niiden kanssa. Tässä tapauksessa se lähettää TCP-nollauspyynnön tietokoneelle B sanoen, että yhteys on katkennut. Tietokoneen B käyttäjä voi muodostaa uuden yhteyden tai tehdä muita toimia.

Fake TCP Resets

Yllä olevassa tapauksessa nollausviestin lähetti yksi yhteyden osallistujista. Kolmas tietokone voisi haistaa kyseisen yhteyden TCP-paketit ja sitten väärentää paketin nollauslipulla ja lähettää sen toiselle tai molemmille osapuolille toisen puolesta. Otsikoissa olevien tietojen tulee osoittaa, että paketti on oletettavasti vastaanotettu toiselta puolelta, ei hyökkääjältä. Tällaisia ​​tietoja ovat IP-osoitteet ja porttinumerot, ja niiden tulee sisältää tarpeeksi uskottavaa tietoa pakottaakseen osallistujat katkaisemaan yhteyden. Hyvin muodostetut huijauspaketit voivat olla erittäin luotettava tapa katkaista kaikki TCP-yhteydet, joita hyökkääjä voi tiedustella.

Sovellukset

Ilmeinen TCP-nollausmenetelmän käyttötapa on, että hyökkääjä vaikeuttaa osapuolten välistä viestintää. Toisaalta sellaista menetelmää käyttävät verkkoturvajärjestelmät ovat tunnettuja. "Buster"-ohjelman prototyyppi esiteltiin vuonna 1995, ja se pystyi lähettämään väärennettyjä nollauspaketteja mihin tahansa yhteyteen tiettyä porttiluetteloa käyttäen. Linux-kehittäjät ehdottivat samanlaisia ​​ominaisuuksia Linux-pohjaisille palomuureille vuonna 2000 [2] , ja ilmainen ohjelmisto Snort käytti TCP-nollauksia epäilyttävien yhteyksien katkaisemiseen jo vuonna 2003 [3] .

Comcastin tapaus

Vuoden 2007 lopulla Comcast alkoi käyttää TCP-huijausta häiritäkseen asiakkaidensa P2P- ja ryhmäohjelmistoohjelmia . [4] . Tämä aiheutti kiistan, joka johti Net Neutrality Groupin (NNSquad) luomiseen, johon kuuluivat Lauren Weinstein , Vint Cerf , David Farber , Craig Newmark ja muut Internetin avoimuuden aktivistit. [5] Vuonna 2008 NNSquad julkaisi NNSquad Network Measurement Agent for Windows -sovelluksen (kirjoittaja John Bartas ), joka tunnisti Comcastin väärennetyt paketit ja erotti ne todellisista pudotuksista. On huomionarvoista, että kaatopaikan tunnistusalgoritmi kehitettiin olemassa olevan avoimen Buster-ohjelman pohjalta, joka on luotu torjumaan haitallisia kohteita ja mainoksia verkkosivuilla.

Tammikuussa 2008 FCC ilmoitti tutkivansa Comcastin huijausta ja määräsi 21. elokuuta 2008 heidät lopettamaan harjoituksen.

Sana "fake"

Jotkut Internet-palveluntarjoajien edustajat pitävät sanaa "fake" sopimattomana TCP-nollausten yhteydessä. He väittivät myös, että se oli laillinen tapa vähentää verkkoliikennettä . [6]

Muistiinpanot

  1. TCP-spesifikaatio (eng.) (pääsemätön linkki) . Käyttöpäivä: 7. syyskuuta 2012. Arkistoitu alkuperäisestä 27. elokuuta 2012. 
  2. Toukokuu 2000 Linux-keskusteluarkistot . Haettu 7. syyskuuta 2012. Arkistoitu alkuperäisestä 3. maaliskuuta 2016.
  3. SNORT uudelleen keskusteluarkisto: TCP nollautuu Arkistoitu alkuperäisestä 11. elokuuta 2007. {{ kuollut linkki }}
  4. Associated Press, Comcast estää jonkin verran Internet-liikennettä . Haettu 7. syyskuuta 2012. Arkistoitu alkuperäisestä 7. toukokuuta 2011.
  5. NNSquadin kotisivu . Haettu 7. syyskuuta 2012. Arkistoitu alkuperäisestä 18. toukokuuta 2020.
  6. Verkonhallinnan nollausten laillisuudesta Arkistoitu 2012-06-09. (Englanti)

Linkit