TCP リセット インジェクション
TCP リセット インジェクション とは何ですか?
TCP リセット インジェクション既存接続に一致する TCP RST セグメントを偽造して両端点に強制切断させ、セッションを破壊または乗っ取る攻撃。
TCP リセット インジェクションは、TCP の設計を悪用します。RST フラグを立て、ウィンドウ内の妥当なシーケンス番号を持つパケットが届けば、両端点は接続を破棄します。攻撃者は接続の 4 タプル(送信元と宛先の IP・ポート)と有効なシーケンス番号を観測または推定できれば、リンクをスニッフ・on-path・off-path 推測のいずれの位置からでも偽造 RST を注入してセッションを終わらせられます。国家規模の検閲が特定 TLS ハンドシェイクを切断するため、IDS/IPS が検知済み攻撃を遮断するため、ストリーミング・BGP・SSH を妨害するため、いずれにも用いられます。対策はエンドツーエンドの暗号化(TLS、IPsec)、BGP への TCP MD5/AO、TCP タイムスタンプとシーケンス番号のランダム化、RST 異常の監視です。
● 例
- 01
国家規模の攻撃者が off-path で RST を注入し、特定の TLS 接続を切断する。
- 02
IPS が両端へ RST を送信し、検知した SQL インジェクション フローを終了させる。
● よくある質問
TCP リセット インジェクション とは何ですか?
既存接続に一致する TCP RST セグメントを偽造して両端点に強制切断させ、セッションを破壊または乗っ取る攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
TCP リセット インジェクション とはどういう意味ですか?
既存接続に一致する TCP RST セグメントを偽造して両端点に強制切断させ、セッションを破壊または乗っ取る攻撃。
TCP リセット インジェクション はどのように機能しますか?
TCP リセット インジェクションは、TCP の設計を悪用します。RST フラグを立て、ウィンドウ内の妥当なシーケンス番号を持つパケットが届けば、両端点は接続を破棄します。攻撃者は接続の 4 タプル(送信元と宛先の IP・ポート)と有効なシーケンス番号を観測または推定できれば、リンクをスニッフ・on-path・off-path 推測のいずれの位置からでも偽造 RST を注入してセッションを終わらせられます。国家規模の検閲が特定 TLS ハンドシェイクを切断するため、IDS/IPS が検知済み攻撃を遮断するため、ストリーミング・BGP・SSH を妨害するため、いずれにも用いられます。対策はエンドツーエンドの暗号化(TLS、IPsec)、BGP への TCP MD5/AO、TCP タイムスタンプとシーケンス番号のランダム化、RST 異常の監視です。
TCP リセット インジェクション からどのように防御しますか?
TCP リセット インジェクション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
TCP リセット インジェクション の別名は何ですか?
一般的な別名: TCP RST 攻撃, RST インジェクション, コネクション リセット攻撃。
● 関連用語
- attacks№ 554
IP フラグメンテーション攻撃
重なり合う・極小・過大などの IP フラグメントを悪用して、ホストをクラッシュさせたり IDS/IPS を回避したり DoS を引き起こす攻撃の総称。
- attacks№ 062
ARP スプーフィング
ローカルネットワーク上で偽の ARP メッセージを送信し、攻撃者の MAC アドレスを他ホストの IP に結びつけて通信を奪取する攻撃。
- attacks№ 865
プロミスキャス モード
NIC が物理メディア上で見えるすべてのフレームを OS に渡すネットワーク インターフェイスのモードで、共有またはミラーリング セグメントの受動的なスニッフィングを可能にする。
- attacks№ 1016
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
- attacks№ 343
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。