TCP reset attack

TCP reset attack (útok na resetování TCP) známý též jako „forget TCP resets“ nebo „spoofed TCP reset packets“ je metoda manipulující s internetovou komunikací uzavřením otevřeného TCP spojení odesláním podvrženého paketu TCP reset (resetování TCP). Někdy tato manipulace může být užitečná, většinou se však jedná o pokus o kybernetický útok.

Je známo, že Velký čínský firewall – součást Projektu Zlatý štít, a íránská internetová cenzura používají TCP reset attacks (útoky na resetování TCP) k rušení a blokování připojení jako hlavní metodu cenzury internetu v zemi.[1][2][3] Mechanismus využívá také cenzura internetu v Rusku.[4][5]

Technický základ

Internet je v podstatě systém, skrz který si počítače mohou vyměňovat zprávy neboli datové pakety. Tento systém zahrnuje hardware, který tato data přenáší (datové kabely, optická vlákna, Wifi, atd.) a formalizovaný systém pro formátování zpráv, nazývaný "protokoly". Základní internetový protokol je IP, který je obvykle spojený s dalšími protokoly, jako je TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol). TCP/IP je protokol, který je primárně určen pro elektronickou poštu a prohlížení webových stránek. Každý protokol obsahuje blok informací, nazývaný hlavička (header), který se nachází na začátku. Hlavičky obsahují informace o tom, kdo paket posílá, kdo by ho měl přijmout, délku (velikost) paketu, atd.

TCP resets

Každý z proudu paketů v TCP spojení obsahuje TCP hlavičku. Každá tato hlavička obsahuje jeden bit, který se nazývá RST flag (reset). Ve většině paketech je tento bit nastaven na hodnotu 0 a při přijmutí paketu se "nic" nestane. Pokud však nastavíme RST na hodnotu 1, oznámíme tak přijímacímu počítači, ať přeruší toto spojení, což znamená, že nic dalšího v tomto spojení nemá posílat ani přijímat (když přijme paket, zahodí ho). Jednoduše TCP reset okamžitě "zabije" TCP spojení.

Občas TCP reset může být i užitečný. Například máme počítač (jednoduše počítač A), který při probíhajícím TCP spojení spadne. Počítač na druhé straně (poč. B) ovšem o tomto pádu neví, tak dále posílá pakety. Po restartu počítač A začne přijímat tyto pakety ze starého spojení. Ten ovšem netuší, jaká to jsou data, a neví, co s nimi. V tom případě pošle počítači B TCP reset, a tím mu dá najevo, že spojení bylo ukončeno.

Padělání TCP resetů

Podle výše popsaného scénáře byl TCP reset bit poslán z koncového počítače. Člověk, který chce podvrhnout falešný TCP reset bit, se musí tvářit jako tento koncový uživatel. Toho docílí tak, že bude spojení odposlouchávat. Tato informace obsahuje IP adresu a číslo portu. Poté může podvrh poslat na jednu nebo na obě strany. Správné formátování TCP resetu může být velice efektivní cestou k narušení jakéhokoli TCP spojení, které monitoruje.

Jak rozpoznat, zda RST bit je padělek, nebo ne?

Jedním z nejčastějších použití podvrhů TCP resetů je snaha narušit TCP spojení bez souhlasu obou stran, mezi kterými toto spojení probíhá. Nicméně existují síťové bezpečnostní systémy, které také používají TCP reset. Například softwarový balíček "Buster", který byl demonstrován v roce 1995, mohl posílat podstrčené resety takovým TCP spojením, které používaly porty z krátkého seznamu. Vývojáři Linuxu navrhovali něco podobného s linuxovým firewallem v roce 2000 a open source program Snort používá TCP resety k narušení podezřelého spojení již od roku 2003.

Spor Comcast

Koncem roku 2007 Comcast začal používat TCP resety k potlačení peer-to-peer sítí a určitých groupwarových aplikací svých zákazníků. Tím vznikl spor, který následovalo vytvoření sdružení Network Neutrality Squad (NNSquad), které založili Lauren Weinstein, Vint Cerf, David Farber, Craig Newmark a další. V roce 2008 tato skupina vydává NNSquad Network Measurement Agent, což je software určený pro Windows napsaný Johnem Bartasem, který dokázal detekovat podvržený TCP reset, zachytit ho, a obnovit spojení. Ironicky tento program vznikl z open source projektu "Buster", který používal padělané TCP resety k blokování malware a reklam na webových stránkách.

V lednu 2008 FCC oznámila, že by mohla Comcast za užívání TCP resetů vyšetřovat a v srpnu téhož roku nařídila, aby Comcast tuto činnost ukončil.

Reference

V tomto článku byl použit překlad textu z článku TCP reset attack na anglické Wikipedii.

  1. CLAYTON, Richard; MURDOCH, Steven J.; WATSON, Robert N. M. Ignoring the Great Firewall of China. In: Privacy Enhancing Technologies. Berlin, Heidelberg: Springer, 2006. Dostupné online. ISBN 978-3-540-68793-1. DOI 10.1007/11957454_2. S. 20–35. (anglicky)
  2. ESFANDIARI, Golnaz. Iran To Work With China To Create National Internet System. RadioFreeEurope/RadioLiberty [online]. RFE, 2020-09-04 [cit. 2022-12-04]. Dostupné online. (anglicky) 
  3. ARYAN, Simurgh; ARYAN, Homayon; HALDERMAN, J. Alex. Internet Censorship in Iran: A First Look. IEEE Symposium on Foundations of Computational Intelligence. 2013, s. 8. University of Michigan. Dostupné online [cit. 2022-12-04]. (anglicky) 
  4. STOKEL-WALKER, Chris. Russia’s Internet Censorship Machine Is Going After Tor. Wired. 2021-12-10. Dostupné online [cit. 2022-12-04]. ISSN 1059-1028. (anglicky) 
  5. XYNOU, Maria; FILASTÒ, Arturo. New blocks emerge in Russia amid war in Ukraine: An OONI network measurement analysis. ooni.org [online]. Open Observatory of Network Interference (OONI), 2022-03-07 [cit. 2022-12-04]. Dostupné online. (anglicky) 

Související články

Externí odkazy