Полуоткрытое TCP/IP соединение

Полуоткрытое TCP/IP соединение (англ. half-open connection) —

Первоначально термин относился к нарушению синхронизации уже установленного соединения (см. ). Но затем более распространённым стало применение термина полуоткрытое TCP/IP соединение к случаю нарушения нормальной последовательности установления соединения. Это произошло после описания CERT Coordination Center[1] уязвимости реализации протокола, которую можно использовать для проведения атаки типа SYN-флуд (англ. SYN-flood).

Технические подробности

Перед началом передачи каких-либо данных, согласно протоколу TCP, стороны должны установить соединение. Соединение устанавливается в три этапа (процесс «трехкратного рукопожатия» TCP).

1. Клиент (сторона — инициатор соединения) посылает пакет с установленным флагом SYN (synchronize).
2. В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges).
3. После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

После установки соединения обе стороны переходят в состояние ESTABLISHED. После завершения обмена и при необходимости разорвать соединение, происходит такой же многоступенчатый процесс .

Нарушение синхронизации может произойти на любом из описанных шагов.

Три значения термина

Полуоткрытое соединение, описанное в стандарте TCP^[2], возникает в результате ошибки одного из участников соединения или внезапного прекращения его (участника) работы без уведомления второй стороны. Если обе стороны находились в состоянии установленного соединения, то, после аварийного завершения соединения с одной стороны, вторая сторона может находится в состоянии полуоткрытого соединения неопределённо долгое время.

Второе значение термина, связанное с уязвимостью SYN-флуд, относится к полуоткрытому соединению на стороне сервера после второго этапа «трехкратного рукопожатия». В этом случае сервер, в ожидании ответа от клиента, не освобождает выделенные ресурсы, что может привести к их исчерпанию.

Третье значение термина относится к клиенту, выполнившему первый этап «трехкратного рукопожатия» и ожидающего ответа сервера. В нормальных условиях это не приводит ни к каким отрицательным последствиям, так как, не получив ответа за определённое время, клиент закрывает соединение и освобождает ресурсы.

MS Windows и клиенты пиринговых сетей

Проблемы, связанные с полуоткрытыми соединениями второго типа (на стороне сервера), имеют примерно одинаковые методы решения на Windows платформах^[3].

Однако вредоносным программным обеспечением системы. В результате такого ограничения появились проблемы в работе программного обеспечения, интенсивно работающего с Интернетом, в частности, клиентов пиринговых сетей. Увеличить предел полуоткрытых соединений можно отредактировав системный файл tcpip.sys при помощи специальной утилиты.

Примечания

1. ↑ TCP SYN Flooding and IP Spoofing Attacks(англ.)
2. ↑ RFC793(англ.)
3. ↑ Укрепление стека TCP/IP для защиты от SYN атак

Ссылки

• Event 4226
• SYN_cookie (англ.)
• Windows Half-open limit fix (patch)