TCP 重置注入
TCP 重置注入 是什么?
TCP 重置注入伪造与现有连接匹配的 TCP RST 报文,使端点突然关闭连接,中断或劫持会话的攻击。
TCP 重置注入利用 TCP 协议的设计:只要带有 RST 标志且序号合法,任一端都会终止连接。攻击者只要能观察或猜出连接四元组(源/目的 IP 与端口)以及落在窗口内的合法序号——通过链路嗅探、在路径上、或离路径推断——即可注入伪造 RST 终止会话。该手法被部分国家级审查者用于阻断特定 TLS 握手、被 IDS/IPS 用于切断检测到的攻击流量,也被攻击者用于干扰流媒体、BGP 或 SSH 会话。防御措施:端到端加密(TLS、IPsec),BGP 启用 TCP MD5/AO 选项,启用 TCP 时间戳和序号随机化,并监控 RST 异常。
● 示例
- 01
国家级对手在离路径位置注入 RST,以切断特定 TLS 连接。
- 02
IPS 向连接两端发送 RST,以终止检测到的 SQL 注入流量。
● 常见问题
TCP 重置注入 是什么?
伪造与现有连接匹配的 TCP RST 报文,使端点突然关闭连接,中断或劫持会话的攻击。 它属于网络安全的 攻击与威胁 分类。
TCP 重置注入 是什么意思?
伪造与现有连接匹配的 TCP RST 报文,使端点突然关闭连接,中断或劫持会话的攻击。
TCP 重置注入 是如何工作的?
TCP 重置注入利用 TCP 协议的设计:只要带有 RST 标志且序号合法,任一端都会终止连接。攻击者只要能观察或猜出连接四元组(源/目的 IP 与端口)以及落在窗口内的合法序号——通过链路嗅探、在路径上、或离路径推断——即可注入伪造 RST 终止会话。该手法被部分国家级审查者用于阻断特定 TLS 握手、被 IDS/IPS 用于切断检测到的攻击流量,也被攻击者用于干扰流媒体、BGP 或 SSH 会话。防御措施:端到端加密(TLS、IPsec),BGP 启用 TCP MD5/AO 选项,启用 TCP 时间戳和序号随机化,并监控 RST 异常。
如何防御 TCP 重置注入?
针对 TCP 重置注入 的防御通常结合技术控制与运营实践,详见上方完整定义。
TCP 重置注入 还有哪些其他名称?
常见的别称包括: TCP RST 攻击, RST 注入, 连接重置攻击。
● 相关术语
- attacks№ 554
IP 分片攻击
一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。
- attacks№ 062
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
- attacks№ 865
混杂模式
网络接口的一种模式,NIC 会将链路上看到的所有帧都送给操作系统,实现对共享或镜像段流量的被动嗅探。
- attacks№ 1016
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
- attacks№ 343
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。