Injection de TCP Reset
Qu'est-ce que Injection de TCP Reset ?
Injection de TCP ResetAttaque qui falsifie des segments TCP RST correspondant à une connexion existante pour forcer les extrémités à la fermer brutalement, cassant ou détournant la session.
L'injection de TCP reset exploite la conception de TCP : un paquet portant le flag RST et un numéro de séquence acceptable contraint les deux extrémités à clore la connexion. Un attaquant capable d'observer ou de deviner le quadruplet (IP/ports source et destination) et un numéro de séquence dans la fenêtre — par sniff, en position on-path ou par inférence off-path — peut injecter un RST forgé qui termine la session. La technique sert à certains censeurs étatiques pour casser des handshakes TLS, aux IDS/IPS pour interrompre des attaques détectées, ou à des attaquants pour perturber streaming, BGP, SSH. Défenses : chiffrement de bout en bout (TLS, IPsec), TCP MD5/AO pour BGP, timestamps TCP et randomisation des numéros de séquence, supervision des anomalies RST.
● Exemples
- 01
Injection RST off-path par un acteur étatique pour rompre des connexions TLS ciblées.
- 02
IPS envoyant des RST aux deux extrémités pour clôturer un flux d'injection SQL détecté.
● Questions fréquentes
Qu'est-ce que Injection de TCP Reset ?
Attaque qui falsifie des segments TCP RST correspondant à une connexion existante pour forcer les extrémités à la fermer brutalement, cassant ou détournant la session. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Injection de TCP Reset ?
Attaque qui falsifie des segments TCP RST correspondant à une connexion existante pour forcer les extrémités à la fermer brutalement, cassant ou détournant la session.
Comment fonctionne Injection de TCP Reset ?
L'injection de TCP reset exploite la conception de TCP : un paquet portant le flag RST et un numéro de séquence acceptable contraint les deux extrémités à clore la connexion. Un attaquant capable d'observer ou de deviner le quadruplet (IP/ports source et destination) et un numéro de séquence dans la fenêtre — par sniff, en position on-path ou par inférence off-path — peut injecter un RST forgé qui termine la session. La technique sert à certains censeurs étatiques pour casser des handshakes TLS, aux IDS/IPS pour interrompre des attaques détectées, ou à des attaquants pour perturber streaming, BGP, SSH. Défenses : chiffrement de bout en bout (TLS, IPsec), TCP MD5/AO pour BGP, timestamps TCP et randomisation des numéros de séquence, supervision des anomalies RST.
Comment se défendre contre Injection de TCP Reset ?
Les défenses contre Injection de TCP Reset combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Injection de TCP Reset ?
Noms alternatifs courants : Attaque TCP RST, Injection RST, Reset de connexion.
● Termes liés
- attacks№ 554
Attaque de fragmentation IP
Famille d'attaques exploitant la fragmentation IP — fragments superposés, trop petits ou trop gros — pour faire crasher des hôtes, contourner un IDS/IPS ou provoquer un déni de service.
- attacks№ 062
Usurpation ARP
Attaque sur réseau local qui envoie des messages ARP falsifiés pour associer la MAC de l'attaquant à l'IP d'un autre hôte et rediriger le trafic.
- attacks№ 865
Mode promiscuité
Mode d'une carte réseau dans lequel la NIC remet au système d'exploitation toutes les trames vues sur le câble, permettant un sniff passif du trafic d'un segment partagé ou mirroré.
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
- attacks№ 343
Usurpation DNS
Attaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant.