TCP reset attack

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

TCP reset attack známý též jako "forget TCP resets", nebo "spoofed TCP reset packets" je metoda manipulující s internetovou komunikací. Jednoduše se jedná o zavírání otevřených spojení. Někdy tato manipulace může být užitečná, většinou se však jedná o nebezpečnou (malicious) verzi.

Technický základ[editovat | editovat zdroj]

Internet je v podstatě systém, skrz který si počítače mohou vyměňovat zprávy neboli datové pakety. Tento systém zahrnuje hardware, který tato data přenáší (datové kabely, optická vlákna, Wifi, atd.) a formalizovaný systém pro formátování zpráv, nazývaný "protokoly". Základní internetový protokol je IP, který je obvykle spojený s dalšími protokoly, jako je TCP (Transmission Control Protocol), nebo UDP (User Datagram Protocol). TCP/IP je protokol, který je primárně určen pro elektronickou poštu a prohlížení webových stránek. Každý protokol obsahuje blok informací, nazývaný hlavička (header), který se nachází na začátku. Hlavičky obsahují informace o tom, kdo paket posílá, kdo by ho měl přijmout, délku (velikost) paketu, atd.

TCP resets[editovat | editovat zdroj]

Každý z proudu paketů v TCP spojení obsahuje TCP hlavičku. Každá tato hlavička obsahuje jeden bit, který se nazývá RST flag (reset). Ve většině paketech je tento bit nastaven na hodnotu 0 a při přijmutí paketu se "nic" nestane. Pokud však nastavíme RST na hodnotu 1, oznámíme tak přijímacímu počítači, ať přeruší toto spojení, což znamená, že nic dalšího v tomto spojení nemá posílat ani přijímat (když přijme paket, zahodí ho). Jednoduše TCP reset okamžitě "zabije" TCP spojení.

Občas TCP reset může být i užitečný. Například máme počítač (jednoduše počítač A), který při probíhajícím TCP spojení spadne. Počítač na druhé straně (poč. B) ovšem o tomto pádu neví, tak dále posílá pakety. Po restartu počítač A začne přijímat tyto pakety ze starého spojení. Ten ovšem netuší, jaké to jsou data a neví co s nimi. V tom případě pošle počítači B TCP reset, a tím mu dá najevo, že spojení bylo ukončeno.

Padělání TCP resetů[editovat | editovat zdroj]

Podle výše popsaného scénáře byl TCP reset bit poslán z koncového počítače. Člověk, který chce podvrhnout falešný TCP reset bit, se musí tvářit, jako tento koncový uživatel. Toho docílí tak, že bude spojení odposlouchávat. Tato informace obsahuje IP adresu a číslo portu. Poté může podvrh poslat na jednu nebo na obě strany. Správné formátování TCP resetu může být velice efektivní cestou k narušení jakéhokoli TCP spojení, které monitoruje.

Jak rozpoznat, zda RST bit je padělek, nebo ne?[editovat | editovat zdroj]

Jedním z nejčastějších použití podvrhů TCP resetů je snaha narušit TCP spojení bez souhlasu obou stran, mezi kterými toto spojení probíhá. Nicméně existují síťové bezpečnostní systémy, které také používají TCP reset. Například softwarový balíček "Buster", který byl demonstrován v roce 1995 mohl posílat podstrčené resety takovým TCP spojením, které používali porty z krátkého seznamu. Vývojáři Linuxu navrhovali něco podobného s Linuxovým firewallem v roce 2000 a open source program Snort používá TCP resety k narušení podezřelého spojení již od roku 2003.

Spor Comcast[editovat | editovat zdroj]

Koncem roku 2007 Comcast začal používat TCP resety k potlačení peer-to-peer sítí a určitých groupwarových aplikací svých zákazníků. Tím vznikl spor, který následovalo vytvoření sdružení Network Neutrality Squad (NNSquad), které založili Lauren Weinstein, Vint Cerf, David Farber, Craig Newmark a další. V roce 2008 tato skupina vydává NNSquad Network Measurement Agent, což je software určený pro Windows napsaný Johnem Bartasem, který dokázal detekovat podvržený TCP reset, zachytit ho, a obnovit spojení. Ironicky tento program vznikl z open source projektu "Buster", který používal padělané TCP resety k blokování malware a reklam na webových stránkách.

V lednu roku 2008 FCC oznámila, že by mohla Comcast za užívání TCP resetů vyšetřovat a v srpnu téhož roku nařídila, aby Comcast tuto činnost ukončil.

Externí odkazy[editovat | editovat zdroj]

Oficiální stránka SNORTu (EN)
Článek na EFF o užívání resetů Comcastem