TCP-Reset-Injection
Was ist TCP-Reset-Injection?
TCP-Reset-InjectionAngriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.
TCP-Reset-Injection nutzt das Design von TCP: Ein Paket mit RST-Flag und akzeptabler Sequenznummer zwingt beide Endpunkte, die Verbindung abzubauen. Ein Angreifer, der das Vier-Tupel (Quell-/Ziel-IP und -Port) und eine fensterkompatible Sequenznummer kennt – durch Sniffing, on-path oder off-path-Inferenz – kann einen gefälschten RST einschleusen und die Session beenden. Verwendet von staatlichen Zensoren zur Sperrung bestimmter TLS-Handshakes, von IDS/IPS zur Terminierung erkannter Angriffe und von Angreifern, um Streaming, BGP- oder SSH-Sessions zu stören. Abwehr: Ende-zu-Ende-Verschlüsselung (TLS, IPsec), TCP MD5/AO für BGP, TCP-Timestamps und Sequenznummer-Randomisierung, Überwachung auf RST-Anomalien.
● Beispiele
- 01
Off-path-RST-Injection durch einen staatlichen Akteur zur Trennung gezielter TLS-Verbindungen.
- 02
IPS sendet RSTs an beide Enden, um einen erkannten SQL-Injection-Flow abzubrechen.
● Häufige Fragen
Was ist TCP-Reset-Injection?
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet TCP-Reset-Injection?
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.
Wie schützt man sich gegen TCP-Reset-Injection?
Schutzmaßnahmen gegen TCP-Reset-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TCP-Reset-Injection?
Übliche alternative Bezeichnungen: TCP-RST-Angriff, RST-Injection, Connection-Reset-Angriff.