A TCP-visszaállítási támadás , a "hamis TCP-visszaállítás", "TCP-visszaállítások", " TCP-visszaállítási csomaghamisítás " az internetkapcsolatok manipulálásának egyik módja . Egyes esetekben így járnak el a támadók, máskor pedig a legitim felhasználók.
Az Internet lényegében az információcsere rendszere, csomagokba csoportosítva. Ez a rendszer adatátviteli hardverből (réz és száloptikai kábelek) és az információábrázolás szabványos formájából, azaz protokollokból áll. Az Internet fő protokollja az IP , olyan további protokollokkal kombinálva, mint a TCP és az UDP [1] ). A web és az e-mail a TCP/IP protokollvermet használja . Ennek megfelelően minden csomag elején található egy fejléc szolgáltatási információkkal a feladóról, a címzettről, a csomag méretéről stb.
Más protokolloktól (például az UDP-től) eltérően a TCP két számítógép közötti kapcsolat létrehozását jelenti. A hálózati szoftverek , mint például a böngésző és a webszerver , csomagfolyamok formájában kommunikálnak egymással. Ennek köszönhetően több adatot tudnak küldeni, mint amennyi egy csomagban elfér, például videoklipeket, dokumentumokat vagy hangfelvételeket. Bár egyes weboldalak elég kicsik ahhoz, hogy egy csomagban elférjenek, a kényelem kedvéért kapcsolaton keresztül is továbbítják őket.
A kapcsolaton belül minden TCP-csomag fejlécet tartalmaz. Mindegyik rendelkezik egy reset flag (RST) bittel. A legtöbb csomagnál ez a bit 0-ra van állítva, és nem jelent semmit, de ha 1-re van állítva, az azt jelenti, hogy a címzettnek azonnal abba kell hagynia a kapcsolat használatát: ne küldjön csomagokat az aktuális azonosítóval (az aktuális porton), és szintén figyelmen kívül hagyja az összes további csomagot, ezt a kapcsolatot (a fejlécükben található információk szerint). A TCP alaphelyzetbe állítása lényegében azonnal megszakítja a kapcsolatot.
Megfelelő használat esetén az ilyen visszaállítás hasznos mechanizmus. Ezt a módszert akkor használják, ha egy számítógép (feltételesen A) meghibásodik a TCP-n keresztüli adatátvitel során. A második számítógép (feltételesen B) továbbra is küldi a TCP-csomagokat, mert nem tud az A meghibásodásáról. Az újraindítás után A továbbra is kap csomagokat a régi kapcsolatról, de kapcsolati adatok hiányában már nem. tudja, mit kezdjen velük. Ebben az esetben TCP-reset kérést küld a B számítógépnek, mondván, hogy a kapcsolat megszakadt. A B számítógép felhasználója új kapcsolatot létesíthet, vagy más műveleteket hajthat végre.
A fenti esetben a reset üzenetet a kapcsolat egyik résztvevője küldte. Egy harmadik számítógép megszagolja a TCP-csomagokat az adott kapcsolaton, majd hamisíthat egy csomagot a reset jelzővel, és elküldheti az egyik vagy mindkét félnek a másik nevében. A fejlécekben lévő információknak azt kell jelezniük, hogy a csomagot feltételezhetően a másik oldalról kapták, és nem a támadótól. Az ilyen információk magukban foglalják az IP-címeket és a portszámokat, és elegendő elfogadható adatot kell tartalmazniuk ahhoz, hogy a résztvevőket a kapcsolat megszakítására kényszerítsék. A jól formázott hamis csomagok nagyon megbízható módszert jelenthetnek minden olyan TCP-kapcsolat megszakítására, amelyre a támadó rábukkanhat.
A TCP alaphelyzetbe állítási módszer kézenfekvő használata, ha a támadó titokban megzavarja a felek közötti kommunikációt. Másrészt ismertek ilyen módszert alkalmazó hálózatbiztonsági rendszerek. 1995-ben bemutatták a "Buster" program prototípusát, amely hamis alaphelyzetbe állítási csomagokat tudott küldeni bármely kapcsolatra a portok adott listáján. A Linux-fejlesztők 2000 -ben hasonló képességeket javasoltak a Linux alapú tűzfalakhoz [2] , az ingyenes Snort szoftver pedig már 2003-ban TCP reset-eket használt a gyanús kapcsolatok megszakításához [3].
2007 végén a Comcast TCP-hamisítást kezdett használni, hogy megzavarja ügyfelei P2P- és csoportmunkaprogramjait . [4] . Ez vitát váltott ki, amelynek eredményeként létrejött a Net Semlegességi Csoport (NNSquad), amely Lauren Weinsteinből , Vint Cerfből , David Farberből , Craig Newmarkból és más aktivistákból állt az internet nyitottságáért. [5] 2008-ban az NNSquad kiadta az NNSquad Network Measurement Agent for Windows programot (szerzője: John Bartas ), amely azonosította a Comcasttól származó hamis csomagokat, és megkülönböztette azokat a valódi cseppektől. Figyelemre méltó, hogy a dump-észlelési algoritmust a meglévő „Buster” nyílt program alapján fejlesztették ki , amelyet a rosszindulatú objektumok és a weboldalakon megjelenő hirdetések leküzdésére hoztak létre.
2008 januárjában az FCC bejelentette, hogy kivizsgálja a Comcast hamisítását, és 2008. augusztus 21-én elrendelte, hogy hagyják abba a gyakorlatot.
Egyes internetszolgáltatók képviselői úgy vélik, hogy a "hamis" szó nem helyénvaló a TCP-visszaállításokkal kapcsolatban. Azt is állították, hogy ez törvényes módja a hálózati forgalom csökkentésének . [6]