TCP-Reset-Injection
Was ist TCP-Reset-Injection?
TCP-Reset-InjectionAngriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.
TCP-Reset-Injection nutzt das Design von TCP: Ein Paket mit RST-Flag und akzeptabler Sequenznummer zwingt beide Endpunkte, die Verbindung abzubauen. Ein Angreifer, der das Vier-Tupel (Quell-/Ziel-IP und -Port) und eine fensterkompatible Sequenznummer kennt – durch Sniffing, on-path oder off-path-Inferenz – kann einen gefälschten RST einschleusen und die Session beenden. Verwendet von staatlichen Zensoren zur Sperrung bestimmter TLS-Handshakes, von IDS/IPS zur Terminierung erkannter Angriffe und von Angreifern, um Streaming, BGP- oder SSH-Sessions zu stören. Abwehr: Ende-zu-Ende-Verschlüsselung (TLS, IPsec), TCP MD5/AO für BGP, TCP-Timestamps und Sequenznummer-Randomisierung, Überwachung auf RST-Anomalien.
● Beispiele
- 01
Off-path-RST-Injection durch einen staatlichen Akteur zur Trennung gezielter TLS-Verbindungen.
- 02
IPS sendet RSTs an beide Enden, um einen erkannten SQL-Injection-Flow abzubrechen.
● Häufige Fragen
Was ist TCP-Reset-Injection?
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet TCP-Reset-Injection?
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.
Wie funktioniert TCP-Reset-Injection?
TCP-Reset-Injection nutzt das Design von TCP: Ein Paket mit RST-Flag und akzeptabler Sequenznummer zwingt beide Endpunkte, die Verbindung abzubauen. Ein Angreifer, der das Vier-Tupel (Quell-/Ziel-IP und -Port) und eine fensterkompatible Sequenznummer kennt – durch Sniffing, on-path oder off-path-Inferenz – kann einen gefälschten RST einschleusen und die Session beenden. Verwendet von staatlichen Zensoren zur Sperrung bestimmter TLS-Handshakes, von IDS/IPS zur Terminierung erkannter Angriffe und von Angreifern, um Streaming, BGP- oder SSH-Sessions zu stören. Abwehr: Ende-zu-Ende-Verschlüsselung (TLS, IPsec), TCP MD5/AO für BGP, TCP-Timestamps und Sequenznummer-Randomisierung, Überwachung auf RST-Anomalien.
Wie schützt man sich gegen TCP-Reset-Injection?
Schutzmaßnahmen gegen TCP-Reset-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TCP-Reset-Injection?
Übliche alternative Bezeichnungen: TCP-RST-Angriff, RST-Injection, Connection-Reset-Angriff.
● Verwandte Begriffe
- attacks№ 554
IP-Fragmentierungsangriff
Angriffsklasse, die IP-Fragmentierung – überlappende, zu kleine oder zu große Fragmente – ausnutzt, um Hosts abstürzen zu lassen, IDS/IPS zu umgehen oder DoS auszulösen.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 865
Promiscuous-Modus
Netzwerkkarten-Modus, in dem die NIC alle auf dem Medium gesehenen Frames an das Betriebssystem weitergibt und so passives Sniffen eines geteilten oder gespiegelten Segments erlaubt.
- attacks№ 1016
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
- attacks№ 343
DNS-Spoofing
Angriff, der gefälschte DNS-Antworten einschleust, um Opfer von einer legitimen Domain auf eine vom Angreifer kontrollierte IP-Adresse umzuleiten.