Was ist TCP Intercept bei einer Firewall?

**TCP Intercept** ist eine Schutzfunktion einer Firewall gegen **TCP-SYN-Flood- und Verbindungsangriffe**. Kurz gesagt: - Die Firewall **überwacht eingehende TCP-Verbindungsaufbauten** - Sie prüft, ob der Client den **3-Wege-Handshake** korrekt abschließt - Erst dann wird die Verbindung an den eigentlichen Server weitergegeben Dadurch kann die Firewall verhindern, dass ein Server durch viele **halboffene Verbindungen** überlastet wird. Typische Arbeitsweisen: 1. **Intercept/Proxy-Modus** Die Firewall beantwortet das SYN zunächst selbst und lässt den Server erst mitspielen, wenn der Client korrekt reagiert. 2. **Watch/Monitor-Modus** Die Firewall beobachtet den Verbindungsaufbau und greift nur ein, wenn etwas verdächtig wirkt. **Ziel:** Schutz vor **DoS-/DDoS-Angriffen**, besonders **SYN-Flooding**. **Einfaches Beispiel:** Ein Angreifer sendet massenhaft SYN-Pakete, beendet den Verbindungsaufbau aber nicht. Mit TCP Intercept erkennt bzw. blockiert die Firewall solche Verbindungen, bevor der Server zu viele Ressourcen reserviert. **Merksatz:** TCP Intercept = **Firewall prüft TCP-Handshakes vor dem Server, um halboffene Verbindungen und SYN-Floods abzuwehren.**