Инъекция TCP Reset
Что такое Инъекция TCP Reset?
Инъекция TCP ResetАтака с подделкой сегментов TCP RST, соответствующих текущему соединению, заставляющая стороны резко закрыть его и тем самым разрывающая или похищающая сессию.
Инъекция TCP reset использует особенность TCP: пакет с флагом RST и приемлемым sequence-номером заставляет обе стороны разорвать соединение. Злоумышленник, способный наблюдать или угадать четвёрку (IP и порт источника/назначения) и допустимый sequence-номер в окне — снифая канал, находясь на пути или вычисляя off-path — может ввести поддельный RST и завершить сессию. Технику применяют государственные цензоры для блокировки конкретных TLS-рукопожатий, системы IDS/IPS для прекращения обнаруженных атак, а также злоумышленники, нарушающие стриминг, BGP или SSH-сессии. Защита: сквозное шифрование (TLS, IPsec), опция TCP MD5/AO для BGP, TCP timestamps и рандомизация sequence-номеров, мониторинг аномалий RST.
● Примеры
- 01
Off-path инъекция RST государственного уровня для разрыва конкретных TLS-соединений.
- 02
IPS отправляет RST обеим сторонам, чтобы остановить обнаруженный поток SQL-инъекции.
● Частые вопросы
Что такое Инъекция TCP Reset?
Атака с подделкой сегментов TCP RST, соответствующих текущему соединению, заставляющая стороны резко закрыть его и тем самым разрывающая или похищающая сессию. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Инъекция TCP Reset?
Атака с подделкой сегментов TCP RST, соответствующих текущему соединению, заставляющая стороны резко закрыть его и тем самым разрывающая или похищающая сессию.
Как работает Инъекция TCP Reset?
Инъекция TCP reset использует особенность TCP: пакет с флагом RST и приемлемым sequence-номером заставляет обе стороны разорвать соединение. Злоумышленник, способный наблюдать или угадать четвёрку (IP и порт источника/назначения) и допустимый sequence-номер в окне — снифая канал, находясь на пути или вычисляя off-path — может ввести поддельный RST и завершить сессию. Технику применяют государственные цензоры для блокировки конкретных TLS-рукопожатий, системы IDS/IPS для прекращения обнаруженных атак, а также злоумышленники, нарушающие стриминг, BGP или SSH-сессии. Защита: сквозное шифрование (TLS, IPsec), опция TCP MD5/AO для BGP, TCP timestamps и рандомизация sequence-номеров, мониторинг аномалий RST.
Как защититься от Инъекция TCP Reset?
Защита от Инъекция TCP Reset обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Инъекция TCP Reset?
Распространённые альтернативные названия: Атака TCP RST, Инъекция RST, Принудительный сброс соединения.
● Связанные термины
- attacks№ 554
Атака на IP-фрагментацию
Семейство сетевых атак, использующих фрагментацию IP — перекрывающиеся, слишком маленькие или слишком большие фрагменты — для сбоя хостов, обхода IDS/IPS или отказа в обслуживании.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 865
Прослушивающий режим
Режим сетевого интерфейса, в котором сетевая карта передаёт ОС все увиденные кадры, позволяя пассивно перехватывать трафик в общем или зеркальном сегменте.
- attacks№ 1016
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
- attacks№ 343
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.