Il « furto di sessione TCP » (detto anche sottrazione di sessione TCP o in inglese TCP session hijacking) è una tecnica che consiste nell'intercettare una sessione TCP cominciata fra due terminali per rubarla.
Se il controllo d'autentificazione viene effettuato solamente all'apertura della sessione, un pirata che vuole mettere in atto questo attacco riesce ad impossessarsi della connessione durante la sessione.
Il metodo di sottrazione iniziale consisteva nell'usare l'opzione source routing del protocollo IP. Quest'opzione permetteva di specificare il percorso da seguire per i pacchetti IP, con l'aiuto di una serie di indirizzi IP con l'indicazione dei router da utilizzare.
Sfruttando quest'opzione, il pirata può indicare un percorso di ritorno per i pacchetti verso un router sotto il suo controllo.
Se il source-routing è disattivato, cosa che si verifica attualmente nella maggiorparte delle apparecchiature, vi è un secondo metodo che consiste nell'inviare dei pacchetti « alla cieca » (in inglese « blind attack »), senza ricevere nessuna risposta, provando a predire il numero di sequenza.
Infine, se un pirata si trova sullo stesso ramo della rete dei due interlocutori, sarà in grado di ascoltare la rete e di « far tacerer » uno dei partecipanti facendo bloccare il suo terminale oppure saturando la rete per prenderne il posto.