Serangan tetapan semula TCP, juga dikenali sebagai serangan TCP RST atau hanya serangan RST, ialah teknik eksploitasi rangkaian berniat jahat yang digunakan untuk menamatkan atau mengganggu sambungan TCP yang ditubuhkan antara dua pihak yang berkomunikasi. Serangan ini memanipulasi Protokol Kawalan Penghantaran (TCP), yang merupakan protokol teras suite protokol Internet. Dengan menghantar paket tetapan semula TCP palsu, penyerang boleh menamatkan sambungan TCP secara paksa, yang membawa kepada gangguan perkhidmatan dan potensi kehilangan data untuk pengguna yang sah.
Sejarah asal usul serangan set semula TCP dan sebutan pertama mengenainya
Serangan tetapan semula TCP pertama kali ditemui dan dibincangkan secara terbuka oleh penyelidik pada awal tahun 2000-an. Pada masa itu, ia dirujuk sebagai "tetapan semula TCP palsu" dan merupakan topik yang diminati dalam kalangan komuniti keselamatan siber kerana potensinya untuk mengganggu komunikasi rangkaian yang sah. Sebutan awal serangan itu mendorong pelbagai penambahbaikan pada protokol keselamatan rangkaian untuk mengurangkan kesannya terhadap sistem yang terdedah.
Maklumat terperinci tentang serangan set semula TCP
Serangan tetapan semula TCP mengeksploitasi proses jabat tangan tiga hala TCP, yang mewujudkan sambungan yang boleh dipercayai antara pelanggan dan pelayan. Semasa berjabat tangan, pelanggan dan pelayan menukar paket SYN (segerak) dan ACK (mengakui) untuk memulakan dan mengesahkan sambungan. Penyerang memulakan serangan set semula TCP dengan menghantar paket RST (set semula) palsu kepada sama ada klien atau pelayan, berpura-pura menjadi salah satu pihak yang sah.
Struktur dalaman serangan tetapan semula TCP: Cara serangan tetapan semula TCP berfungsi
Serangan tetapan semula TCP berfungsi dengan mengganggu sambungan TCP, yang biasanya merupakan proses empat hala yang melibatkan langkah berikut:
-
Penubuhan Sambungan: Pelanggan menghantar paket SYN ke pelayan, menunjukkan keinginannya untuk mewujudkan sambungan.
-
Respons Pelayan: Pelayan membalas dengan paket ACK-SYN, mengakui permintaan pelanggan dan memulakan separuh sambungannya.
-
Pengesahan Sambungan: Pelanggan bertindak balas dengan paket ACK, mengesahkan kejayaan mewujudkan sambungan.
-
Serangan Tetapan Semula TCP: Penyerang memintas komunikasi dan menghantar paket RST palsu, berpura-pura sebagai pelanggan atau pelayan, yang membawa kepada penamatan sambungan.
Analisis ciri utama serangan set semula TCP
Serangan set semula TCP mempunyai beberapa ciri yang ketara:
-
Eksploitasi Protokol Tanpa Negara: Serangan tetapan semula TCP adalah tanpa kewarganegaraan, bermakna ia tidak memerlukan pengetahuan awal tentang keadaan sambungan. Penyerang boleh memulakan serangan ini tanpa mengambil bahagian dalam jabat tangan tiga hala.
-
Pemutusan Sambungan Pantas: Serangan menyebabkan sambungan terputus dengan pantas, membawa kepada gangguan perkhidmatan yang cepat tanpa memerlukan komunikasi yang meluas.
-
Kekurangan Pengesahan: TCP tidak termasuk pengesahan terbina dalam untuk paket set semula, menjadikannya lebih mudah bagi penyerang untuk memalsukan dan menyuntik paket RST ke dalam aliran komunikasi.
-
Penipuan Sambungan: Penyerang mesti menipu alamat IP sumber untuk memastikan sasaran percaya paket RST datang daripada sumber yang sah.
Jenis serangan set semula TCP
Serangan tetapan semula TCP boleh dikategorikan kepada dua jenis utama berdasarkan entiti yang memulakan serangan:
| taip | Penerangan |
|---|---|
| Serangan Pihak Pelanggan | Dalam senario ini, penyerang menghantar paket RST palsu kepada pelanggan, mengganggu sambungan dari hujung pelanggan. Jenis ini kurang biasa disebabkan oleh cabaran pemalsuan alamat IP sumber. |
| Serangan sebelah pelayan | Serangan jenis ini melibatkan penghantaran paket RST palsu ke pelayan, yang membawa kepada penamatan sambungan dari hujung pelayan. Ia adalah jenis serangan set semula TCP yang lebih lazim. |
Serangan tetapan semula TCP boleh digunakan untuk pelbagai tujuan jahat, termasuk:
-
Penafian Perkhidmatan (DoS): Penyerang boleh menggunakan serangan tetapan semula TCP untuk melancarkan serangan DoS pada perkhidmatan atau pelayan tertentu dengan menamatkan sambungan yang telah ditetapkan berulang kali.
-
Rampasan Sesi: Dengan mengganggu sambungan yang sah, penyerang boleh cuba merampas sesi, mengambil alih akaun pengguna atau mendapatkan akses tanpa kebenaran kepada maklumat sensitif.
-
Penapisan dan Penapisan Kandungan: Serangan tetapan semula TCP boleh digunakan untuk menapis atau menapis kandungan tertentu dengan menamatkan sambungan ke tapak web atau perkhidmatan tertentu.
Untuk mengatasi serangan tetapan semula TCP, beberapa penyelesaian telah dilaksanakan:
-
Firewall dan Sistem Pencegahan Pencerobohan: Peranti keselamatan rangkaian boleh memeriksa paket masuk untuk tanda-tanda serangan tetapan semula TCP dan menyekat trafik yang mencurigakan.
-
Pemeriksaan Paket Stateful (SPI): SPI menjejaki sambungan aktif dan memeriksa pengepala paket untuk mengesan anomali, termasuk paket RST palsu.
-
Pengesahan Nombor Urutan TCP: Pelayan boleh mengesahkan kesahihan paket RST yang masuk dengan menyemak nombor urutan TCP, yang membantu dalam mengenal pasti paket palsu.
Ciri-ciri utama dan perbandingan lain dengan istilah yang serupa
| Ciri | Serangan Tetapan Semula TCP | Serangan Banjir TCP SYN | Serangan Banjir TCP RST |
|---|---|---|---|
| Jenis Serangan | Gangguan Sambungan | Keletihan Sambungan | Penamatan Sambungan |
| Tujuan | Tamatkan Sambungan | Mengatasi Sumber Pelayan | Sambungan Paksa Tutup |
| Vektor Serangan | Paket RST Dipalsukan | Berbilang Permintaan SYN | Paket RST Dipalsukan |
| Langkah-langkah Pencegahan | Pemeriksaan Paket Stateful, Firewall | Mengehadkan Kadar, Kuki SYN | Pengesahan Nombor Urutan TCP |
Memandangkan teknologi terus berkembang, begitu juga langkah keselamatan siber untuk memerangi serangan tetapan semula TCP. Beberapa perspektif masa depan dan teknologi berpotensi termasuk:
-
Pengesahan yang Diperbaiki: Protokol TCP mungkin menggabungkan mekanisme pengesahan yang lebih kukuh untuk paket set semula sambungan, menjadikannya lebih mencabar bagi penyerang untuk memalsukan dan menyuntik paket RST.
-
Analisis Tingkah Laku: Algoritma analisis tingkah laku lanjutan boleh mengesan corak trafik anomali, membantu mengenal pasti serangan tetapan semula TCP dengan lebih ketepatan.
-
Paket Set Semula Disulitkan: Menyulitkan paket set semula TCP boleh menambah lapisan keselamatan tambahan, menghalang penyerang daripada memanipulasi sambungan dengan mudah.
Bagaimana pelayan proksi boleh digunakan atau dikaitkan dengan serangan tetapan semula TCP
Pelayan proksi boleh memainkan kedua-dua peranan pertahanan dan ofensif berkenaan serangan set semula TCP:
-
Penggunaan Defensif: Pelayan proksi boleh bertindak sebagai perantara antara klien dan pelayan, membantu menyembunyikan alamat IP sebenar pelayan dan melindunginya daripada serangan tetapan semula TCP secara langsung.
-
Penggunaan Menyinggung: Di tangan yang salah, pelayan proksi juga boleh dimanfaatkan oleh penyerang untuk melakukan serangan tetapan semula TCP secara lebih rahsia dengan mengaburkan alamat IP sumber mereka dan mengelakkan pengesanan terus.
Pautan berkaitan
Untuk mendapatkan maklumat lanjut tentang serangan tetapan semula TCP, pertimbangkan untuk meneroka sumber berikut:
